Исследователи Cybernews обнаружили незащищённую базу данных, предположительно принадлежащую американской компании IDMerit, – и в ней хранился без преувеличения весь цифровой паспорт человечества: около миллиарда чувствительных записей из 26 стран. База объёмом почти терабайт была открыта для свободного доступа. Без пароля и авторизации.
Что утекло и у кого
Речь идёт о данных KYC (Know Your Customer – «знай своего клиента»): это та самая информация, которую обычно предоставляют при верификации в банках, финтех-сервисах и криптобиржах. В базе оказались:
- Полные имена, адреса и индексы
- Даты рождения и номера национальных удостоверений личности
- Номера телефонов и адреса электронной почты
- Данные телекоммуникационных операторов
- Отметки о «статусе в других утечках» и аннотации соцпрофилей
Больше всего пострадали пользователи из США – более 203 миллионов записей. Следом идут Мексика (124 млн), Филиппины (72 млн), Германия (61 млн), Италия и Франция (по 53 млн). Всего база содержала около трёх миллиардов записей, из которых один миллиард – это реальные персональные данные, остальные два – технические журналы сервисов.
IDMerit: охранник без замка
IDMerit – американская компания, специализирующаяся на ИИ-верификации личности для финансового сектора. Она предоставляет бизнесу инструменты для проверки клиентов в режиме реального времени через базы данных из 440+ источников в 180+ странах. Иными словами, компания собрала колоссальный массив самых чувствительных данных в интернете – и забыла закрыть дверь.
Исследователи Cybernews обнаружили уязвимость 11 ноября 2025 года и немедленно уведомили компанию. База была закрыта уже 12 ноября – всего через сутки. Свидетельств того, что злоумышленники успели воспользоваться данными, нет — однако, как отмечают эксперты, автоматические сканеры хакеров круглосуточно рыщут по сети в поисках именно таких открытых баз.
Чем это грозит
KYC-данные – мечта мошенника. Набор из имени, даты рождения, номера удостоверения и телефона – это готовый комплект для кражи личности, оформления кредитов или SIM-свопинга (когда злоумышленник перехватывает номер телефона и получает доступ ко всем привязанным аккаунтам). По оценке исследователей, структурированность и масштаб базы делают её особенно привлекательной для автоматизированных фишинговых и мошеннических кампаний.
«Для атакующего эта база – набор высокорисковых идентификаторов: национальные ID, полные даты рождения и контактные данные – готовые ингредиенты для кражи личности и социальной инженерии», – пояснили в Cybernews .
Отдельного внимания заслуживают данные Бразилии: там в базе присутствовали флаги «databreachesinfo», указывающие, что часть данных могла быть агрегирована из других утечек. Несколько стран попали в коллекции «idmtelco» – с данными телеком-операторов, что напрямую повышает риск SIM-своппинга для их жителей.
Рутина катастрофы
Главный вывод из этой истории – не столько вина одной компании, сколько системный кризис индустрии. IDMerit – лишь последняя в длинной очереди: за несколько месяцев до этого Cybernews фиксировала утечку 8,7 миллиарда китайских записей, в декабре 2025-го – базу на 4,3 миллиарда записей с данными LinkedIn, а в июле – 16 миллиардов логинов с паролями от сервисов Apple, Google, Facebook* и Telegram.
Утечки миллиардных баз данных, похоже, становятся новой нормой цифрового мира – а компании, которым мы доверяем самое ценное, продолжают хранить это на открытых серверах.
