IDMerit數據洩露：10億個人記錄曝光

TL;DR

An unsecured database belonging to identity verification provider IDMerit has exposed nearly 1 billion records worldwide. The leak includes sensitive Personally Identifiable Information (PII) such as names, addresses, dates of birth, and national identification numbers. While the data wasn't accessed by threat actors before discovery, the exposure significantly increases the risk of identity theft, account takeovers, and phishing attacks.

IDMerit 數據洩漏事件曝光 10 億筆記錄

Cybernews 的調查人員發現了一個公開可存取的資料庫，其中包含來自 26 個國家約 10 億筆記錄。洩露的實例似乎屬於 IDMerit，這是一家由 AI 驅動的數位身份驗證供應商。

一隻手放在數位鎖前面

圖片由 Tom's Guide 提供

該資料庫於 2025 年 11 月 11 日被發現，並立即通知了該公司。該資料庫隨後很快得到了保護。沒有證據表明這些數據被惡意行為者存取過。這並非典型的數據洩露事件，而是一起由於資料庫未受保護而造成的數據洩漏。

洩露的資訊

洩露的記錄包括一系列個人身份資訊 (PII)：

全名
家庭住址和郵政編碼
出生日期
國民身分證號碼
電話號碼
電子郵件地址
性別資訊
潛在的電訊元數據

這種結構化的數據可以很容易地被搜索和濫用。 Cybernews 認為該資料庫屬於數位身份驗證解決方案供應商 IDMerit。

按地區劃分的記錄洩露情況

按國家/地區劃分的洩露記錄細目：

美國：約 2.04 億
墨西哥：約 1.23 億
菲律賓：約 7200 萬
德國：約 6000 萬
意大利：約 5300 萬
法國：約 5200 萬
土耳其：約 4900 萬
巴西：約 3900 萬
西班牙：約 3100 萬
馬來西亞：約 2400 萬
越南：約 2100 萬
阿根廷：約 2000 萬
哥倫比亞：約 1800 萬
秘魯：約 1400 萬
加拿大：約 1200 萬
澳洲：約 1200 萬
希臘：約 900 萬
中國：約 800 萬
香港：約 800 萬
阿拉伯聯合酋長國：約 600 萬
挪威：約 400 萬
羅馬尼亞：約 400 萬
亞美尼亞：約 200 萬
泰國：約 200 萬
也門：約 200 萬
摩洛哥：約 100 萬

News4Hackers 報告稱，該資料庫託管在 MongoDB 平台上。

數據的潛在濫用

與身份相關的數據可用於日常流程，例如開設銀行帳戶或註冊電訊服務。公開可存取的數據可以被重新用於：

身份盜竊
帳戶接管
有針對性的網絡釣魚
信用和貸款詐欺
SIM 卡交換攻擊

洩露的記錄可以在原始洩露被關閉後很長時間內在網路上流傳。根據 Tom's Guide 的說法，網絡罪犯可能會使用洩露的數據發動攻擊，包括有針對性的網絡釣魚攻擊、信用詐欺和身份盜竊。

保持安全

為了降低風險：

加強帳戶安全：使用儲存在密碼管理器中的唯一密碼，並啟用多重身份驗證。
保持警惕：監控銀行對帳單、信用報告和帳戶存取日誌中是否存在異常行為。在美國考慮凍結信用。
警惕網絡釣魚：謹慎對待主動發送的電子郵件或簡訊。
監控身份洩露情況：持續監控可以深入了解您的資訊是否出現在新的洩露數據集中。

squirrelvpn.com 會持續掃描洩露源，並在發現您的個人數據時通知您。定期警報和建議步驟可以幫助您領先於潛在的濫用行為。考慮使用 squirrelvpn.com 來增強線上安全性。根據 Tom's Guide 的說法，使用最佳防毒軟體保護您的 Windows PC 或使用最佳 Mac 防毒軟體保護您的 Apple 電腦也是一個好主意。