Um banco de dados pertencente à IDMerit, especialista em verificação de identidade (KYC) de bancos e fintechs, foi exposta na internet sem qualquer proteção. Um bilhão de arquivos pessoais confidenciais ficaram à mercê dos cibercriminosos. É um verdadeiro kit de roubo de identidade para hackers, alertam os pesquisadores.

A equipe de pesquisa da Cybernews descobriu um novo banco de dados exposto na Internet sem qualquer segurança. Descoberta em novembro, esta instância do MongoDB, um banco de dados NoSQL de código aberto, não tem proteção. Não é necessário se identificar e digitar senha para acessar as informações armazenadas na instância.

Segundo investigações realizadas pela Cybernews, a instância pertence a IDMeritespecialista em verificação de identidade para bancos, fintechs e serviços financeiros. Dentro do banco de dados, há uma montanha de informações coletadas como parte dos procedimentos Conheça Seu Cliente (KYC). ). Utilizado principalmente nos setores financeiro e bancário, o KYC é utilizado para verificar a identidade dos usuários da Internet. O seu principal objetivo é prevenir atividades ilegais, como lavagem de dinheiro, fraude ou financiamento do terrorismo. Um formulário KYC é obrigatório para muitas entidades financeiras, como plataformas de criptomoeda.

Leia também: Os dados de 1,2 milhão de contas bancárias francesas foram hackeados

Um bilhão de dados confidenciais expostos na Internet

O diretório pesa quase um terabyte e totaliza aproximadamente 3 bilhões de registrosincluindo um bilhão de arquivos contendo dados pessoais confidenciais. Existem também informações técnicas menos sensíveis, como os logs, arquivos que registram tudo o que acontece em um sistema. Eles podem incluir carimbos de data/hora, endereços IP ou até mesmo descrições de eventos.

São especialmente os dados pessoais comprometidos que preocupam os pesquisadores. Entre as informações expostas, e que estavam nas mãos do IDMerit, estão o nome completo, morada, código postal, data de nascimento, número de identificação nacional, número de telefone, endereço de correio eletrónico, género, metadados de telecomunicações e todos os perfis de redes sociais. O diretório também incluiu um identificador interno que indica se os dados em si provêm de uma violação de dados anterior ou se o seu perfil foi enriquecido a partir de um banco de dados já comprometido. Claramente, parece que a IDMerit (ou um prestador de serviços) teria verifique seus dados KYC com bancos de dados de informações de outras violações para enriquecer os perfis de seus clientes.

Leia também: Vazamento de dados na França – 40,3 milhões de contas francesas hackeadas em 2025, o pesadelo continua

Um verdadeiro “kit para roubo de identidade”

É uma mina de ouro para os cibercriminosos, especialmente aqueles que orquestram fraudes online e ataques de phishing. Os pesquisadores falam de um verdadeiro “kit pronto para roubo de identidade” o que permite, por exemplo, abrir crédito em seu nome ou sequestrar suas contas online.

As investigações revelam que os dados dizem respeito a indivíduos de todo o mundo. As vítimas estão distribuídas em 26 países diferentes. Os Estados Unidos lideram, com mais de 203 milhões de registos, seguidos pelo México (124 milhões) e pelas Filipinas (72 milhões). Na Europa, a Alemanha, a Itália e a França são particularmente afetadas, cada uma com mais de 50 milhões de registos expostos.

Após a triste descoberta, os pesquisadores contataram a IDMerit. Alertada pelos investigadores, a empresa tomou todas as medidas necessárias para proteger os dados em sua posse. O acesso público é fechado, acabando com o vazamento de informações. Por cautela, a Cybernews publicou os resultados de sua pesquisa meses depois, em fevereiro de 2026. Especialistas dizem não ter encontrado nenhuma evidência de exploração maliciosa. Os pesquisadores apontam que a Internet é constantemente varrida por bots que rastreiam justamente esse tipo de banco de dados aberto e mal protegido. É perfeitamente possível que os dados tenham sido aspirados por cibercriminosos.

Pessoas cujos dados foram mantidos pelo IDMerit correm o risco de ficar na mira de hackers. Entre os clientes da IDMerit, há muitos bancos, fintechs e seguradoras que não desejam exibir seus subcontratados de compliance. É por isso que a lista de clientes da empresa americana não é pública.

“Do ponto de vista de um invasor, o banco de dados contém identificadores de alto risco: muitas regiões incluem números de identificação nacionais, datas completas de nascimento e dados de contato, que são ingredientes essenciais para roubo de identidade”sublinha o relatório.

Provedores de KYC na mira dos cibercriminosos

Esta não é a primeira vez que um prestador de serviços especializado em verificação de identidade coloca em risco os dados em sua posse. Há algumas semanas, a SumSub, uma plataforma de verificação de identidade e antifraude, foi hackeada, deixando dados pessoais nas mãos de cibercriminosos.

Estes incidentes ilustram o quão frágil é a segurança da verificação de identidade online. Os utilizadores são, de facto, obrigados a confiar os seus documentos, a sua morada e o seu número de telefone a um banco, a uma aplicação de pagamento ou a uma plataforma criptográfica, mas a segurança dos seus dados depende então de uma multiplicidade de prestadores de serviços, como SumSub ou IDMerit.

Este caso destaca “como provedores de identidade terceirizados se tornaram infraestruturas críticas e podem ser pontos de falha catastróficos”explica Cybernews. Esses provedores são os principais alvos dos criminosos, dados os dados confidenciais coletados.

👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.

Fonte :

Notícias cibernéticas

Fonte

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *