大学招生平台PrepHero数据库泄露导致300万条学生和教练数据曝光

2025年5月13日，安全研究人员发现，大学招生平台PrepHero的数据库未受到保护导致数百万条未加密的数据泄露，其中包含学生的敏感个人信息以及护照图像。

该数据库共有3,154,239条记录，数据量约135GB，且未设置密码或进行加密处理。这些信息涵盖了学生运动员及其教练的姓名、电话号码、电子邮件地址、家庭住址和护照信息，还包括父母和教练的联系方式，以及学生运动员护照图像的链接。

此外，数据库中还设有一个名为“邮件缓存”的文件夹，其中存储了从2017年至2025年约10GB的电子邮件，这些邮件中显示了学生运动员的姓名、出生日期、电子邮件地址、家庭住址以及补偿细节。

一些电子邮件还包含临时密码，进一步构成隐私风险。此外，还发现了教练员的录音，其中记录了教练员的姓名、所在大学以及对学生运动员优缺点的评估。

根据数据库信息，该账户属于一家名为PrepHero的芝加哥公司，由EXACT  Sports运营。PrepHero帮助高中运动员创建大学体育项目的招募档案，并促进运动员与知名大学教练之间的直接沟通，旨在帮助运动员获得体育奖学金。

安全研究人员立即将这一发现告知了PrepHero，后者迅速保护了数据库，阻止了公众进一步访问。虽然泄露的记录已被证实与 PrepHero 有关，但目前尚不清楚该数据库是由其直接管理，还是由外部公司负责管理。此外，在安全研究人员发现之前，这些敏感信息在网上被访问了多久，或者是否有其他人访问过，也尚不清楚。

原文始发于微信公众号（安全学习那些事儿）：大学招生平台PrepHero数据库泄露导致300万条学生和教练数据曝光