IDMerit資料外洩：10億筆個資曝光

TL;DR

An unsecured database belonging to identity verification provider IDMerit has exposed nearly 1 billion records worldwide. The leak includes sensitive Personally Identifiable Information (PII) such as names, addresses, dates of birth, and national identification numbers. While the data wasn't accessed by threat actors before discovery, the exposure significantly increases the risk of identity theft, account takeovers, and phishing attacks.

IDMerit 數據外洩，暴露 10 億筆記錄

Cybernews 的調查人員發現了一個可公開訪問的數據庫，其中包含來自 26 個國家/地區約 10 億筆記錄。洩露的實例似乎屬於 IDMerit，這是一家由 AI 驅動的數位身份驗證供應商。

一把手放在數位鎖前面

圖片由 Tom's Guide 提供

該數據庫於 2025 年 11 月 11 日被發現，並立即通知了該公司。數據庫隨後很快得到了保護。沒有證據表明該數據被威脅行為者訪問過。這不是典型的數據洩露事件，而是由於數據庫未受保護而導致的數據外洩。

暴露的資訊

暴露的記錄包括一系列 PII（個人身份資訊）：

全名
家庭住址和郵遞區號
出生日期
國民身分證字號
電話號碼
電子郵件地址
性別資訊
潛在的電信元數據

這種結構化數據可以很容易地被搜尋和濫用。 Cybernews 認為該數據庫屬於數位身份驗證解決方案供應商 IDMerit。

各地區暴露的記錄

按國家/地區劃分的暴露記錄細目：

美國：約 2.04 億
墨西哥：約 1.23 億
菲律賓：約 7200 萬
德國：約 6000 萬
義大利：約 5300 萬
法國：約 5200 萬
土耳其：約 4900 萬
巴西：約 3900 萬
西班牙：約 3100 萬
馬來西亞：約 2400 萬
越南：約 2100 萬
阿根廷：約 2000 萬
哥倫比亞：約 1800 萬
秘魯：約 1400 萬
加拿大：約 1200 萬
澳大利亞：約 1200 萬
希臘：約 900 萬
中國：約 800 萬
香港：約 800 萬
阿拉伯聯合大公國：約 600 萬
挪威：約 400 萬
羅馬尼亞：約 400 萬
亞美尼亞：約 200 萬
泰國：約 200 萬
葉門：約 200 萬
摩洛哥：約 100 萬

News4Hackers 報導稱，該數據庫託管在 MongoDB 平台上。

數據的潛在濫用

與身份相關的數據可用於日常流程，例如開設銀行帳戶或註冊電信服務。公開可用的數據可以被重新用於：

身份盜用
帳戶盜用
有針對性的網路釣魚
信用和貸款詐欺
SIM 卡交換攻擊

暴露的記錄在原始暴露結束後很長時間仍可能在網路上流傳。根據 Tom's Guide 的說法，網路犯罪分子可能會使用暴露的數據發起攻擊，包括有針對性的網路釣魚攻擊、信用詐欺和身份盜用。

如何保持安全

為了降低風險：

加強帳戶安全性：使用儲存在密碼管理器中的唯一密碼，並啟用多重身份驗證。
保持警惕：監控銀行對帳單、信用報告和帳戶訪問日誌中是否有異常行為。在美國考慮凍結信用。
警惕網路釣魚：謹慎對待主動發送的電子郵件或簡訊。
監控身份暴露情況：持續監控可以深入了解您的資訊是否出現在新的洩露數據集中。

squirrelvpn.com 會持續掃描洩露來源，如果發現您的個人資料，會立即通知您。定期警報和建議的步驟可以幫助您領先於潛在的濫用行為。考慮使用 squirrelvpn.com 來增強線上安全性。保護您的 Windows PC 與最佳防毒軟體，或使用最佳 Mac 防毒軟體保護您的 Apple 電腦也是一個好主意，正如 Tom's Guide 所指出的。