Обнаруженная уязвимость в базе данных компании IDMerit привела к обнародованию примерно 1 миллиарда записей, содержащих личные данные граждан 26 стран, включая США, Мексику и страны Европы. В результате утечки оказались такие сведения, как имена, адреса, даты рождения, номера документов и контактная информация. Инцидент был выявлен 11 ноября 2025 года исследовательской командой Cybernews, после чего база данных была немедленно закрыта. Пока не зафиксировано случаев загрузки данных злоумышленниками, однако автоматические сканеры интернета могут получить к ним доступ в считанные минуты.
—
## Детали события и суть утечки данных
В ходе расследования было установлено, что уязвимость находилась в базе данных MongoDB, принадлежащей компании IDMerit — глобальному поставщику услуг по проверке личности клиентов для банков и финтех-компаний. База данных не была защищена паролем, что сделало её доступной для любого, кто знал, где искать. Внутри хранились полные имена, домашние адреса, почтовые индексы, даты рождения, номера национальных удостоверений личности, номера телефонов, электронные адреса и половая принадлежность. Также обнаружены метаданные, связанные с телекоммуникациями, и внутренние флаги, которые, возможно, указывали на прошлые нарушения безопасности.
Данная уязвимость затронула пользователей из 26 стран, из которых более 203 миллионов записей приходятся на США. Также пострадали граждане Мексики, Филиппин, Германии, Италии и Франции. После уведомления компании база была закрыта, и на данный момент не подтверждено, что злоумышленники скачивали данные.
—
## Позиции сторон и реакции
Компания IDMerit пока не предоставила комментариев по поводу утечки. Представители Cybernews подчеркнули, что уязвимость была исправлена в течение суток после обнаружения. Эксперты отмечают, что подобные инциденты подчеркивают важность соблюдения стандартов кибербезопасности, особенно для компаний, хранящих чувствительные данные. В то же время, эксперты предупреждают, что автоматизированные боты постоянно сканируют интернет в поисках открытых баз, что повышает риск быстрого распространения информации злоумышленниками.
Несмотря на отсутствие подтвержденных случаев скачивания данных, эксперты предостерегают пользователей о возможных угрозах, таких как фишинг, SIM-спуфинг и мошенничество с использованием личных данных.
—
## Контекст и возможные последствия
Этот инцидент демонстрирует критическую уязвимость систем хранения личной информации и поднимает вопрос ответственности компаний за защиту данных. В случае успешного использования утекших данных злоумышленниками, возможны атаки на банковские счета, социальные сети и другие онлайн-сервисы через методы, такие как SIM-спуфинг и целевые фишинговые кампании. В результате, доверие к компаниям, предоставляющим услуги по верификации личности, может пострадать, а масштабы возможных последствий требуют усиления нормативных мер и автоматических санкций для нарушителей.
Для защиты личных данных рекомендуется пользователям активировать дополнительные меры безопасности, такие как блокировки кредитных и мобильных счетов, использование менеджеров паролей и двухфакторной аутентификации через приложения, а не SMS-коды.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты