Der KI-Identitätsprüfer IDMerit hat eine Datenbank mit einer Milliarde sensibler Kundendatensätze ungeschützt im Internet zugänglich gemacht. Die Panne betrifft persönliche Informationen von Bürgern aus 26 Ländern, darunter 60 Millionen Deutsche. Sicherheitsexperten warnen vor einer Welle von Identitätsbetrug.
Das Forschungsteam von Cybernews entdeckte die offene MongoDB-Datenbank bereits im November. Sie war ohne Passwortschutz im Netz auffindbar – das Ergebnis einer fehlerhaften Konfiguration, nicht eines Hackerangriffs. Die Datenbank umfasste fast ein Terabyte an Informationen, die für „Know-Your-Customer“-Prüfungen (KYC) genutzt werden.
Was genau ist geleakt?
Die kompromittierten Datensätze bilden den digitalen Fingerabdruck von Millionen Menschen. Sie enthalten vollständige Namen, Privatadressen, Geburtsdaten, nationale ID-Nummern, Telefonnummern und E-Mail-Adressen. In einigen Fällen waren auch Telekommunikations-Metadaten Teil der Sammlung.
Mit diesen Informationen können Kriminelle überzeugende Phishing-Angriffe starten oder sich bei Finanzdienstleistern als ihre Opfer ausgeben. Die Daten bieten sogar die Grundlage, um SIM-Karten zu kapern und so Zwei-Faktor-Authentifizierungen zu umgehen.
Wer sich vor genau solchen Phishing- und Identitätsbetrugsversuchen schützen möchte, findet praktische Hilfe in einem kostenlosen 4-Schritte-Guide: Er erklärt, wie Sie gefälschte E-Mails erkennen, SIM-Swap-Angriffe vorbeugen und geeignete Reaktionsmaßnahmen ergreifen. Jetzt Anti-Phishing-Paket kostenlos herunterladen
Wer ist betroffen?
Die globale Reichweite des Lecks ist enorm. Am stärksten betroffen sind die USA mit über 204 Millionen Datensätzen. Es folgen Mexiko (123 Millionen) und die Philippinen (72 Millionen). In Europa sind Deutschland (60 Millionen) und Frankreich (53 Millionen) massiv betroffen.
Die Ironie ist bitter: Ausgerechnet ein Unternehmen, dessen Geschäft der Identitätsschutz ist, hat eine derart grundlegende Sicherheitsmaßnahme vernachlässigt.
Warum dauerte die Meldung so lange?
Cybernews informierte IDMerit am Tag nach der Entdeckung. Das Unternehmen sicherte die Datenbank angeblich noch am selben Tag. Die öffentliche Bekanntgabe erfolgte erst jetzt, um die Untersuchung abzuschließen und Betroffenen Zeit für Schutzmaßnahmen zu geben.
Doch was bedeutet das für die Geschädigten? Die Daten könnten über Jahre in Untergrundforen gehandelt werden.
Was können Betroffene tun?
Experten raten zu höchster Wachsamkeit. Seien Sie misstrauisch gegenüber unerwarteten Nachrichten, die persönliche Daten abfragen oder dringenden Handlungsbedarf vortäuschen. Eine der wirksamsten Schutzmaßnahmen ist das Einfrieren der Kreditauskunft bei Auskunfteien wie Schufa.
Der Vorfall erschüttert das Vertrauen in die digitale Identitätsprüfung. Er wird wahrscheinlich zu schärferen Prüfungen von Dienstleistern durch Banken und Finanzplattformen führen. Die Aufsichtsbehörden in den betroffenen Ländern dürften nun Untersuchungen einleiten.
