据网络安全研究团队赛博新闻发布的一项调查显示,美国加利福尼亚州身份验证公司IDMerit发生了一起大规模数据泄露事件,导致26个国家超过十亿条个人记录被曝光。研究人员发现了一个未受保护的蒙古数据库实例,其中包含约一太字节的敏感客户身份验证数据,该数据库无需任何密码即可在互联网上自由访问。
泄露的记录包括全名、出生日期、国民身份证号码、实际住址、邮政编码、电话号码、电子邮件地址、性别信息、电信元数据和社交资料注释。美国是受影响最严重的国家,约有两亿零三百万条记录被曝光,其次是墨西哥一亿两千四百万条,菲律宾七千两百万条,德国六千一百万条,意大利和法国各有五千三百万条记录。包括中国和巴西在内的另外二十个国家的公民也受到了此次泄露的影响。
IDMerit通过应用程序接口为银行、金融科技公司和其他依法需要通过客户身份验证程序核实客户身份的机构提供身份验证和欺诈防范服务。网络安全专家将泄露数据的结构化特性描述为犯罪分子的金矿,指出国民身份证号码、出生日期和完整个人资料的组合为身份盗窃、信用欺诈、手机号码劫持攻击和复杂的网络钓鱼活动创造了理想条件。
赛博新闻研究团队于2025年11月11日发现了这个未受保护的数据库,并立即通知了IDMerit。该公司于次日即11月12日对暴露的数据库实例进行了安全加固。然而,目前尚不清楚该数据库在被发现之前已经公开可访问了多长时间,这引发了人们对恶意行为者是否已经访问并复制了这些数据的严重担忧。IDMerit尚未公开披露有关此事件的详细信息,也未说明是否已正式通知受影响的个人和监管机构。
此次泄露事件重新点燃了关于客户身份验证服务提供商安全实践的辩论。这些提供商已成为全球金融体系的关键基础设施。世界各国政府和监管机构要求银行、加密货币交易所和数字平台验证用户身份,从而将大量敏感个人数据导向第三方验证公司。批评人士认为,这些提供商没有受到足够的监管审查或强制性安全审计。该事件在法国引起了特别关注,因为五千三百万条法国公民身份记录在立法者正在讨论要求社交媒体平台进行身份验证提案之际遭到泄露。
网络安全分析人士警告说,此次泄露的后果可能会在未来数年间持续显现,因为被窃取的身份数据在初次泄露后很长时间内仍保持其价值。国民身份证号码和出生日期不像密码那样可以更改,这意味着受影响的个人面临着长期的身份欺诈风险。专家敦促所有通过IDMerit验证服务的用户密切监控其金融账户,尽可能启用双重身份验证,并对利用泄露个人信息进行的定向网络钓鱼攻击保持警惕。
评论