Globales Datenleck bei IDMerit legt eine Milliarde Kundendaten offen

Eine ungeschützte Datenbank, die wahrscheinlich Know-Your-Customer-Daten enthielt, hat riesige Mengen personenbezogener Daten aus mehreren Ländern offengelegt, darunter die USA, Deutschland, Frankreich, Italien, China, Brasilien und viele mehr.

Daten sind die Währung des digitalen Zeitalters. Umso schlimme, wenn ein Dienst, der Daten schützen soll, seine Infrastruktur nicht ausreichend absichert. Im Rahmen eines schwerwiegenden Sicherheitsvorfalls hat ein KI-gestütztes Tool von IDMerit, einem weltweit führenden Anbieter für digitale Identitätsverifikation, über eine Milliarde personenbezogener Datensätze geleakt.

Allein in den USA waren 204 Millionen Datensätze betroffen.

Zu den geleakten Details gehören zahllose personenbezogene Daten, darunter Namen und Adressen sowie Ausweisdokumente und Telefonnummern. Die exponierte MongoDB-Instanz enthielt mehrere Datenbanken mit den Informationen von Kunden aus 26 Ländern, ein Datenleck von wahrhaft globalem Ausmaß.

Stellungnahme von IDMerit zum Datenleck

Nach Veröffentlichung dieses Artikels wandte sich IDMerit an Cybernews und erklärte, dass das Unternehmen zwar seine eigene proprietäre Plattform betreibt, jedoch keine Kundendaten oder die von unabhängigen Datenquellen verwalteten Daten besitzt, kontrolliert oder speichert.

IDMerit bestätigt zudem, von einem White-Hat-Hacker kontaktiert worden zu sein, einem freien Mitarbeiter von Cybernews. Der Mitarbeiter informierte das Unternehmen, dass „bestimmte Datenports im Zusammenhang mit unabhängigen Datenquellen offen gewesen sein könnten, was potenziell bestimmte Datenbanken hätte offenlegen können".

„Nach Erhalt dieser Benachrichtigung haben wir umgehend eine umfassende Überprüfung unserer Software, Sicherheitskontrollen, Konfigurationen und Systemprotokolle durchgeführt. Diese Überprüfung ergab keine Offenlegung, Schwachstelle oder unbefugten Zugriff innerhalb der IDMERIT-Umgebung. Die Systeme und Sicherheitsinfrastruktur von IDMERIT wurden nie kompromittiert", erklärte ein Sprecher von IDMerit.

Das Unternehmen gibt an, relevante Datenquellen-Partner benachrichtigt und mit ihnen zusammengearbeitet zu haben, um den Sachverhalt zu prüfen.

Laut IDMerit-Sprecher „führten die Partner eigene interne Untersuchungen durch und bestätigten, dass es während, vor oder nach diesem Vorfall nie zu einem Datenleck oder einer Datenexfiltration aus ihren Systemen gekommen ist".

„Wir haben die White-Hat-Hacker um einen Sicherheitsvorfallsbericht als Nachweis gebeten, und die Antwort war eine Geldforderung für den Bericht, was unseren Verdacht bestätigte, dass es sich um einen erpressungsbezogenen Vorfall handelte", erklärte der Unternehmenssprecher.

IDMerit behauptet, dass eine interne Überprüfung und Informationen von Partnern „keinen Hinweis darauf ergaben, dass Kundendaten kompromittiert wurden".

„Wir unterhalten weiterhin robuste Sicherheitsvorkehrungen für unsere Systeme und nehmen diese Anschuldigungen sehr ernst, während wir diese Angelegenheit in Abstimmung mit unseren Partnern weiter untersuchen", sagte der Sprecher.

Anmerkung der Redaktion: Der Forscher, der Informationen über das Leak bereitstellte, ist ein freier Mitarbeiter, der mit Cybernews zusammenarbeitet. Bis zum 26. Februar war Cybernews jedoch nicht über Kommunikation zwischen IDMerit und dem Forscher bezüglich einer Vergütung für die Erkenntnisse informiert.

Die Cybernews-Redaktion hält sich an höchste ethische Standards. Unsere Mission ist ausschließlich, Verbraucher weltweit über Sicherheitsrisiken aufzuklären und zu schützen. Wir verkaufen keine Exploit-Fixes an betroffene Unternehmen.

Stattdessen informieren wir Anbieter über ihre Schwachstellen und arbeiten mit ihnen zusammen, um diese Probleme zu beheben – ohne dafür eine Vergütung zu erhalten. Wir möchten Online-Erfahrungen für alltägliche Nutzer sicherer machen, was uns motiviert, zu recherchieren und bestmögliche Lösungen zu entwickeln.

Dennoch haben unsere internen Forscher die technische Zusammenfassung geprüft und bestätigt, dass die Erkenntnisse des Mitarbeiters legitim waren.

Was ging beim weltweiten Datenleck verloren?

Die Datenbank mit einer Größe von einem Terabyte enthielt zahlreiche Identifikationsmerkmale. Laut unserem Team variiert der Umfang der offengelegten personenbezogenen Informationen von Land zu Land, zu den exponierten Details gehören jedoch:

• Vollständige Namen
• Adressen
• Postleitzahlen
• Geburtsdaten
• Personalausweisnummern
• Telefonnummern
• Geschlecht
• E-Mail-Adressen
• Telekommunikations-Metadaten
• Breach-Status und Social-Profile-Anmerkungen

Der letzte Datenpunkt – Breach-Status und Social-Profile-Anmerkungen – könnte sich auf eine Datenbank-Kennung beziehen, die angibt, ob die Daten aus einem Datenleck oder einer geleakten Datenbank stammen. Die genaue Bedeutung dieses Datenpunkts ist derzeit jedoch unklar. Das Team stellte fest, dass dieser spezifische Datenpunkt nur in einigen Regionen vorhanden war.

„Bei einem Datenleck von diesem Ausmaß entstehen zahlreiche Risiken, wie Kontoübernahmen, gezieltes Phishing, Kreditbetrug, SIM-Swaps und langfristige Probleme mit dem Datenschutz. Der Fall unterstreicht, wie Drittanbieter für ID-Verfahren mittlerweile zur kritischen Infrastruktur gehören und zu Schnittpunkten für schwerwiegende Fehler werden können“, erklärte unser Team.

Wer ist IDMerit und wie ist das passiert?

Unser Team geht davon aus, dass die exponierte Datenbank zu IDMerit gehört, einem Anbieter KI-gestützter Lösungen zur digitalen Identitätsverifikation. Das Unternehmen bedient den Fintech- und Finanzdienstleistungssektor und unterstützt Unternehmen mit Echtzeit-Verifizierungstools. KYC-Verfahren (Know Your Customer) sind eine globale Norm, bei der Nutzer ihre Identität beim Einrichten verschiedener Konten verifizieren.

Unsere Forscher bemerkten die offene Instanz am 11. November 2025 und kontaktierten das Unternehmen umgehend, das die Datenbank daraufhin prompt absicherte. Obwohl derzeit keine Hinweise auf böswilligen Missbrauch vorliegen, durchforsten automatisierte Crawler von Angreifern ständig das Netz nach offenen Instanzen und laden sie nahezu sofort herunter, sobald sie auftauchen.

Globales Datenleck erstreckt sich über mehrere Länder

Am bemerkenswertesten am IDMerit-Datenleck ist seine globale Reichweite mit mehr als drei Milliarden Datensätzen aus über 20 Ländern. Mehrere Datenbanken schienen überlappende Ausschnitte für dasselbe Land zu enthalten. Unser Team geht jedoch davon aus, dass die meisten Datensätze einzigartig waren.

Das Land mit den meisten exponierten Datensätzen waren die USA mit über 203 Millionen geleakten Einträgen. Danach folgten Mexiko (124 Millionen), die Philippinen (72 Millionen), Deutschland (61 Millionen), Italien (53 Millionen) und Frankreich (53 Millionen).

Von den drei Milliarden offengelegten Datensätzen werden eine Milliarde verschiedenen Ländern zugeordnet und enthalten voraussichtlich sensible Daten. Weitere zwei Milliarden sind vermutlich verschiedene Datenbank-Logs, die wahrscheinlich weniger sensibel sind.

„Aus Sicht eines Angreifers enthält die Datenbank risikoreiche Identifikationsmerkmale: In mehreren Regionen sind Personalausweisnummern, vollständige Geburtsdaten und Kontaktdaten enthalten; ideale Zutaten für Identitätsdiebstahl, SIM-Swapping und Social-Engineering-Angriffe“, erklärten unsere Sicherheitsforscher.

Darüber hinaus lieben Angreifer gut strukturierte Daten, da sie damit problemlos großangelegte Kampagnen automatisieren können. Die Hingabe zur Datenstrukturierung ist so stark, dass Angreifer Monate damit verbringen, weniger sensible Details zu sammeln, nur um sie in Datenleak-Foren zur Selbstdarstellung zu teilen.

„Bei einem Datenleck von diesem Ausmaß entstehen zahlreiche Risiken, wie Kontoübernahmen, gezieltes Phishing, Kreditbetrug, SIM-Swaps und langfristige Probleme mit dem Datenschutz. Der Fall unterstreicht, wie Drittanbieter für ID-Verfahren mittlerweile zur kritischen Infrastruktur gehören und zu Schnittpunkten für schwerwiegende Fehler werden können“,

so unser Team.

Sicherheitsforscher weisen auch darauf hin, dass sich die Arten der offengelegten Daten je nach Region unterscheiden und für jede Region spezifische Risiken entstehen. Brasiliens „Prefill"-Datensätze enthalten beispielsweise Social-Profile- und „databreachesinfo“-Flags, die gezielte Betrugsfälle ermöglichen könnten.

Mehrere Länder hatten „idmtelco“-Sammlungen, was auf telefonzentrierte Datenanreicherung und eine mögliche Verbindung zu Telekommunikationsdatensätzen hindeutet. Das erhöht für Betroffene das Risiko von SIM-Swapping, einer Betrugsart, bei der Kriminelle die Kontrolle über Mobilfunknummern übernehmen.

Warum dieses Leak anders ist

Im Gegensatz zu klassischen Leaks mit bloßen E-Mail-Adressen ist diese Datenbank strukturiert. Das ermöglicht es Hackern, ihre eigenen KI-Tools einzusetzen, um:

1. SIM-Swaps durchzuführen: Mithilfe von Personalausweisnummern und Telekommunikations-Metadaten können sie deine Telefonnummer kapern und Sicherheitscodes abfangen.
2. Gezieltes Phishing zu starten: Betrüger können deine tatsächliche Adresse und Ausweisnummer nutzen, um authentische aussehende Betrugs-Nachrichten zu verfassen.
3. Identitätsprüfungen zu umgehen: Da diese Daten für KYC-Zwecke erhoben wurden, können Kriminelle versuchen, damit Opfer auf anderen Finanzplattformen zu imitieren.

3 wichtige Schritte, um dich jetzt zu schützen

• Sperre deine Kreditauskunft: Kontaktiere umgehend den Support, um deine Berichte zu sperren. Das ist der effektivste Weg, um zu verhindern, dass mit deinen geleakten Daten unbefugt Kredite in deinem Namen aufgenommen werden.
• Aktualisiere deine Zwei-Faktor-Authentifizierung: Verzichte auf SMS-Codes, diese gelten nicht mehr als sicher. Wechsle zu einer Authenticator-App (wie Google Authenticator) oder einem physischen Hardware-Schlüssel (YubiKey).
• Verifiziere alle „offiziellen" Kontaktversuche: Wenn du einen Anruf von einer Bank oder Behörde erhältst, die deine Ausweisnummer oder Adresse erwähnt, leg auf. Finde die offizielle Nummer in einer unabhängigen Quelle und ruf zurück, um die Angaben zu überprüfen.

Milliarden geleakter Datensätze werden zur Routine

Letzte Woche veröffentlichten wir die Ergebnisse unseres Teams zu einem offengelegten Elasticsearch-Cluster, der über 160 Indizes enthielt und 8,7 Milliarden überwiegend chinesische Datensätze umfasste, von nationalen Personalausweisnummern bis hin zu verschiedenen Geschäftsunterlagen.

Im vergangenen Dezember entdeckte das Team eine ungeschützte Datenbank mit 4,3 Milliarden Datensätzen, von denen einige aus LinkedIn stammende persönliche Informationen enthielten. Die 16 Terabyte große Instanz umfasste E-Mails, Fotos, Beschäftigungsverläufe und weitere persönliche Daten. Allein eine einzelne Sammlung enthielt 732 Millionen Datensätze, einschließlich Fotografien.

Im Juli berichtete Cybernews über eines der größten Datenlecks der Geschichte, nachdem Forscher mehrere Sammlungen von Anmeldedaten mit 16 Milliarden Datensätzen entdeckt hatten. Das Team fand 30 offengelegte Datensätze mit jeweils mehreren zehn Millionen bis über 3,5 Milliarden Einträgen.

Die geleakten Daten umfassten Login-Informationen für nahezu jeden Online-Dienst, darunter Apple, Facebook, Google, GitHub, Telegram und sogar Behördensoftware.

---

• Leck entdeckt: 11. November 2025
• Leck gemeldet: 12. November 2025
• Leck geschlossen: 12. November 2025

Aktualisiert am 2. Februar [09:55 a.m. GMT] mit der IDMerit-Stellungnahme.

---

Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.