IDMerit公司一个未受保护的数据库泄露了约10亿条敏感身份记录，涉及26个国家，仅美国就有2.03亿条记录暴露。这些数据包括姓名、地址、出生日期和社会安全号码等关键身份信息，可能被犯罪分子利用进行身份盗窃。研究人员警告此类信息泄露会带来严重安全风险。

标题：身份验证数据泄露事件曝光10亿条敏感记录

网络安全研究人员发现，与身份验证服务商IDMerit关联的一个未受保护数据库在公开互联网上暴露了约10亿条敏感身份信息，涉及26个国家。其中美国受影响最严重，超过2.03亿条记录遭泄露。

事件详情： 1. 数据内容
- 泄露信息包括：全名、家庭住址、邮编、出生日期、国民身份证号、电话号码、电子邮箱及性别信息
- 部分记录还包含电信元数据及可能涉及历史数据泄露的内部标记

2. 发现过程

   • Cybernews研究人员于2025年11月11日发现该无密码保护的MongoDB数据库
   • 数据库次日被紧急保护，尚无证据表明数据被犯罪份子下载

3. 潜在风险

   • 犯罪分子可能利用这些信息实施SIM卡交换攻击和精准钓鱼诈骗
   • 完整身份信息组合可使诈骗者更容易突破银行账户等关键系统的验证

企业回应： IDMerit声明称其平台本身未被入侵，疑似是第三方数据源端口开放导致，并强调已与合作伙伴确认不存在数据外泄情况。公司认为此事可能涉及勒索行为。

防护建议： 1. 立即冻结信用报告 2. 将双重验证从短信切换至认证器应用 3. 使用密码管理器创建高强度独立密码 4. 启用运营商提供的额外安全功能（如转出PIN码） 5. 安装专业防病毒软件 6. 定期监控暗网数据交易

行业反思： 该事件暴露出数字经济基础设施中身份验证服务商的安全脆弱性。当这类掌握核心数据的公司出现安全漏洞时，影响将波及数百万普通用户。文章呼吁探讨是否应对此类企业实施自动处罚机制。

（注：原文中大量促销内容、图片描述及重复性防护建议已精简，保留核心事实与实用防护措施）

评论总结：

1. 对KYC（了解你的客户）政策的批评：

   • "KYC = Kill Your Customer"（egorfine）
   • 类似GDPR的措施只是让用户多点击一个cookie提示（mbix77："making me click a cookie prompt away"）

2. 对数据泄露事件的质疑：

   • 消息来源可疑，缺乏其他媒体证实（cataflam："I've never seen any confirmation elsewhere"）
   • 可能是骗局而非真实泄露，黑客拒绝展示数据并索要钱财（esperent："probably just a scam rather than a real leak"）

3. 对数据收集的质疑：

   • 质疑IDMerit如何获得超过10亿人的详细数据（whatsupdog："Where the F does IDMerit even get all this data from?"）
   • 讽刺公司高管数据不会出现在泄露中（neya："CXOs of the said ID Verification company's data isn't included in the leak"）

4. 对公司责任的批评：

   • 公司未审查数据供应商应被视为疏忽（bilekas："The fact that they didn't vet their data providers...a form of negligence"）
   • 呼吁对开发者和高管追究刑事责任（pirate787："Criminal negligence and prison time"）

5. 其他评论：

   • 发现AOL仍然存在表示惊讶（djohnston："aol.com!?!?"，rmnclmnt："TIL AOL is still a thing in 2026!"）
   • 指出公司官网文章与事件形成讽刺对比（chikinpotpi提供链接显示公司自称有"防数据泄露架构"）