Kimlik doğrulama hizmetleri sunan IDMerit adlı şirkete ait olduğu düşünülen korumasız bir veritabanı, yaklaşık 1 milyar hassas kimlik kaydını internete maruz bıraktı. Siber güvenlik araştırma kuruluşu Cybernews tarafından keşfedilen bu MongoDB veritabanı, isim, ev adresi, doğum tarihi, ulusal kimlik numarası, telefon numarası ve e-posta adresi gibi kişisel bilgileri içeriyordu. Bankalar ve finansal teknoloji firmaları gibi işletmelere 'Müşterini Tanı' (KYC) süreçlerinde yapay zeka destekli çözümler sunan IDMerit'in bu veritabanı, 26 farklı ülkeden milyonlarca kişiyi etkiledi. Yalnızca Amerika Birleşik Devletleri'nde 203 milyondan fazla kaydın güvence altına alınmadığı belirtildi.
Bu tür bilgiler, suçlular için altın değerinde olup, kimlik hırsızlığı ve SIM-swap saldırıları gibi dolandırıcılık faaliyetlerinde kullanılabilir. SIM-swap saldırılarında, dolandırıcılar mobil operatörleri ikna ederek kurbanın telefon numarasını kendi cihazlarına aktarır ve böylece güvenlik kodlarına erişebilirler. Veritabanının şifreyle korunmaması, herkesin kolayca erişebilmesine olanak tanımıştı. Araştırmacılar, şirketi bilgilendirdikten sonra veritabanı ertesi gün güvence altına alındı.
Her ne kadar verilerin suçlular tarafından indirildiğine dair henüz kamuya açık bir kanıt olmasa da, otomatik botların interneti sürekli tarayarak korumasız veritabanlarını dakikalar içinde kopyalayabildiği biliniyor. Bu olay, kişisel verilerin korunmasının ve kimlik doğrulama süreçlerinde kullanılan altyapının güvenliğinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi. Vatandaşların ve işletmelerin bu tür sızıntılara karşı sürekli tetikte olması ve güvenlik önlemlerini artırması büyük önem taşıyor.
Kimlik doğrulama hizmeti veren bir şirketten sızan devasa veri, dijital kimlik güvenliğinin kırılganlığını ve kişisel verilerin korunmasının aciliyetini vurguluyor.