Миллиард незащищенных данных пользователей со всего мира обнаружен в сети исследователями Cybernews
Миллиард персональных данных был оставлен в свободном доступе в интернете через базу данных, связанную с компанией, специализирующейся на проверке личности с помощью искусственного интеллекта.
По данным Tech Radar, утечка коснулась людей из разных регионов мира и охватила широкий спектр данных, позволяющих напрямую идентифицировать личность.
Судя по первоначальной информации, речь идет не о взломе, а о незащищенной базе данных, доступной без пароля через открытый сервер MongoDB, которая была защищена после того, как об этом сообщили исследователи в области кибербезопасности.
По данным исследовательской группы Cybernews, которая обнаружила незащищенный сервер, база данных содержала около терабайта информации, то есть примерно миллиард записей, включая имена, почтовые адреса, даты рождения, национальные идентификационные номера, номера телефонов, адреса электронной почты и другие связанные метаданные.
В целом записи похожи на данные типа KYC (Know Your Customer), которые используются финансовыми учреждениями и цифровыми платформами для проверки личности своих клиентов.
Среди данных есть полные имена, почтовые адреса, даты рождения, номера телефонов, адреса электронной почты и, что особенно важно, копии паспортов, удостоверений личности и официальных документов из 26 стран, включая США (204 миллиона), Мексику (123 миллиона), Филиппины (72 миллиона), Германию (60 миллионов) и Францию (52 миллиона человек).
Ирония заключается в том, что компания, которая должна была обеспечить безопасность личных данных с помощью искусственного интеллекта, сама стала причиной крупнейшей утечки личных данных за последние годы.
Исследователи подчеркивают, что открытая база данных не была зашифрована и могла быть просмотрена любым человеком, имеющим правильный адрес, без особых технических навыков.
«В таком масштабе риски включают в себя захват учетных записей, целевой фишинг, кредитное мошенничество, неправомерное использование SIM-карт и долгосрочное нарушение конфиденциальности», — предупредила команда Cybernews, которая называет сторонних поставщиков идентификационных данных «единственными точками потенциально катастрофического сбоя» для всей экосистемы.
Расследования позволяют предположить, что база принадлежала IDMerit, американской компании, специализирующейся на решениях для проверки личности в режиме реального времени, которая утверждает, что охватывает десятки стран и обслуживает, в частности, финансовый сектор и сектор регулируемых услуг.
На сайте компании представлены услуги, направленные на «предотвращение мошенничества, снижение рисков и соблюдение нормативных требований» посредством анализа публичных данных, кредитных файлов и официальных документов в сочетании с технологиями искусственного интеллекта.
Исследователи Cybernews утверждают, что обнаружили уязвимость MongoDB 11 ноября 2025 года, а на следующий день предупредили об этом компанию. База данных была незамедлительно защищена, однако неизвестно, успели ли злоумышленники скопировать ее. Этот случай еще раз иллюстрирует банальность «утечек данных», вызванных простой неправильной настройкой серверов, без активного вторжения, но с последствиями, потенциально эквивалентными последствиям сложного взлома.
Чрезвычайно деликатный характер утечек данных, которые включают в себя множество идентификаторов, определяющих цифровую и финансовую жизнь людей, делает их привлекательной мишенью для крупномасштабных мошеннических кампаний или целенаправленных операций социальной инженерии.
Специализированные СМИ, такие как TechRadar Pro, Forbes и Tom’s Guide, распространили предупреждение, подчеркнув, что эта информация может использоваться в течение многих лет для обхода механизмов аутентификации или создания подробных профилей потенциальных жертв.