São Paulo — InkDesign News — Uma vulnerabilidade crítica na plataforma PrepHero, dedicada ao recrutamento de atletas universitários, expôs dados não criptografados que incluem informações pessoais sensíveis e imagens de passaportes de milhões de estudantes-atletas. O incidente foi descoberto em maio de 2025 e implica riscos significativos de segurança.
Incidente e vulnerabilidade
A falha de segurança foi identificada por Jeremiah Fowler, um pesquisador de cibersegurança da vpnMentor, que divulgou a descoberta em 12 de maio de 2025. A base de dados exposta continha mais de 3 milhões de registros, totalizando aproximadamente 135 gigabytes. Esta base de dados não possuía senhas ou criptografia, facilitando o acesso não autorizado. Os dados comprometidos incluíam nomes, números de telefone, endereços de e-mail e informações sobre passaportes dos estudantes. A vulnerabilidade não foi catalogada em uma CVE específica, mas é considerado um caso de grande exposição de dados.
Impacto e resposta
A exposição de dados afetou não apenas jovens atletas, mas também seus treinadores e familiares. Além das informações pessoais, um diretório rotulado de “cache de e-mails” continha 10 gigabytes de mensagens de e-mail de 2017 a 2025, incluindo links personalizados que levavam a páginas públicas com dados sensíveis. Em resposta, Fowler informou a PrepHero, que conseguiu rapidamente proteger a base de dados, evitando acessos adicionais. Contudo, resta um grande número de incertezas, incluindo a duração do tempo em que os dados estiveram expostos e a possibilidade de que outros indivíduos tenham acessado as informações antes da descoberta.
“Atletas estudantes, muitas vezes jovens e com pouca experiência em crédito, são alvos vulneráveis para roubo de identidade.”
(“Student-athletes, often young and lacking credit histories, are vulnerable to identity theft.”)— Jeremiah Fowler, Pesquisa de Cibersegurança, vpnMentor
Mitigações recomendadas
Seguindo as melhores práticas de segurança, recomenda-se a utilização de sistemas de gestão de conteúdo seguros com controles de acesso rigorosos e a implementação de autenticação multifatorial em todas as contas. Para minimizar o impacto de futuras violações, é imperativo que organizações e indivíduos adotem políticas rígidas para o envio de e-mails que contenham informações pessoais identificáveis (PII). Além disso, é crucial restringir o acesso a links que requerem credenciais de login para evitar acessos não autorizados.
“Enviar e-mails com links únicos para pesquisas ou páginas abertas que contenham PII deve ser restrito e acessado apenas com credenciais de login para prevenir acessos não autorizados.”
(“Sending emails with unique web links to surveys or open webpages that contain PII should be restricted and only accessible with login credentials to prevent unauthorized or accidental access.”)— Jeremiah Fowler, Pesquisa de Cibersegurança, vpnMentor
O incidente na PrepHero ressalta a necessidade de vigilância contínua contra riscos cibernéticos, especialmente em setores como o educacional, onde a proteção de dados sensíveis deve ser uma prioridade inegociável.
Fonte: (Hack Read – Segurança Cibernética)
