Ein massives Datenleck bei IDMerit, einem kalifornischen Unternehmen für Identitätsverifizierung, hat über eine Milliarde personenbezogene Datensätze von Bürgern aus 26 Ländern offengelegt, wie eine Untersuchung des Cybersicherheits-Forschungsteams von Cybernews ergab. Die Forscher entdeckten eine ungesicherte MongoDB-Datenbank mit rund einem Terabyte sensibler KYC-Daten (Know Your Customer), die ohne jeglichen Passwortschutz frei im Internet zugänglich war und von jedem mit Internetzugang einsehbar war.
Die offengelegten Datensätze umfassen vollständige Namen, Geburtsdaten, nationale Identifikationsnummern, Wohnadressen, Postleitzahlen, Telefonnummern, E-Mail-Adressen, Geschlechtsangaben, Telekommunikations-Metadaten und Annotationen zu sozialen Profilen. Die Vereinigten Staaten sind mit rund 203 Millionen offengelegten Datensätzen am stärksten betroffen, gefolgt von Mexiko mit 124 Millionen, den Philippinen mit 72 Millionen, Deutschland mit 61 Millionen sowie Italien und Frankreich mit jeweils 53 Millionen Datensätzen. Bürger aus 20 weiteren Ländern, darunter China und Brasilien, sind ebenfalls von dem Leck betroffen.
IDMerit bietet API-basierte Dienste zur Identitätsverifizierung und Betrugsprävention für Banken, Fintech-Unternehmen und andere Organisationen an, die gesetzlich verpflichtet sind, die Identität ihrer Kunden im Rahmen von KYC-Compliance-Verfahren zu überprüfen. Cybersicherheitsexperten bezeichnen die strukturierte Beschaffenheit der offengelegten Daten als Goldgrube für Kriminelle und betonen, dass die Kombination aus nationalen Identifikationsnummern, Geburtsdaten und vollständigen persönlichen Profilen ideale Voraussetzungen für Identitätsdiebstahl, Kreditbetrug, SIM-Swapping-Angriffe und raffinierte Phishing-Kampagnen schafft.
Das Forschungsteam von Cybernews entdeckte die ungeschützte Datenbank am 11. November 2025 und informierte IDMerit unverzüglich. Das Unternehmen sicherte die offenliegende Instanz am darauffolgenden Tag, dem 12. November. Allerdings bleibt unklar, wie lange die Datenbank vor ihrer Entdeckung öffentlich zugänglich war, was erhebliche Bedenken aufwirft, ob böswillige Akteure die Daten bereits eingesehen und kopiert haben. IDMerit hat bislang keine detaillierten Informationen über den Vorfall veröffentlicht und auch nicht klargestellt, ob betroffene Personen und Aufsichtsbehörden ordnungsgemäß benachrichtigt sind.
Das Datenleck hat die Debatte über die Sicherheitspraktiken von KYC-Anbietern neu entfacht, die zu kritischen Infrastrukturen des globalen Finanzsystems geworden sind. Regierungen und Regulierungsbehörden weltweit verlangen von Banken, Kryptowährungsbörsen und digitalen Plattformen, die Identität ihrer Nutzer zu überprüfen, wodurch gewaltige Mengen sensibler personenbezogener Daten an externe Verifizierungsunternehmen fließen. Kritiker argumentieren, dass diese Anbieter keiner ausreichenden regulatorischen Aufsicht oder verpflichtenden Sicherheitsüberprüfungen unterliegen. In Deutschland löst die Tatsache besondere Besorgnis aus, dass 61 Millionen Datensätze deutscher Bürger offengelegt sind.
Cybersicherheitsanalysten warnen, dass sich die Folgen dieses Datenlecks über Jahre hinweg entfalten dürften, da gestohlene Identitätsdaten ihren Wert lange nach der ursprünglichen Offenlegung behalten. Nationale Identifikationsnummern und Geburtsdaten lassen sich nicht wie Passwörter ändern, weshalb betroffene Personen einem anhaltenden Risiko für Identitätsbetrug ausgesetzt sind. Experten empfehlen allen, die Dienste über IDMerit verifiziert haben, ihre Finanzkonten genau zu überwachen, die Zwei-Faktor-Authentifizierung zu aktivieren und gegenüber gezielten Phishing-Versuchen wachsam zu bleiben.
Kommentare