Source : Cybernews (Publié le 18 février 2026, mis à jour le 23 février 2026). Des chercheurs de Cybernews ont découvert le 11 novembre 2025 une instance MongoDB non sécurisée liée à IDMerit, fournisseur mondial de vérification d’identité assistée par IA (KYC), exposant environ 1 milliard d’enregistrements sensibles à travers 26 pays. La base (~1 To) a été sécurisée le 12 novembre 2025 après notification.

🔓 Nature de l’incident et périmètre

  • Type d’incident : fuite de données / base MongoDB non sécurisée (exposition publique).
  • Volume total observé : ~3 milliards d’enregistrements, dont ~1 milliard d’entrées susceptibles de contenir des PII KYC et ~2 milliards de logs (moins sensibles).
  • Pays touchés : 26, avec les volumes les plus élevés aux États‑Unis (>203 M), Mexique (124 M), Philippines (72 M), puis Allemagne (61 M), Italie (53 M) et France (53 M). 🌍

🧾 Données exposées (exemples)

  • PII KYC : noms complets, adresses, codes postaux, dates de naissance, numéros d’identification nationaux, numéros de téléphone, genres, adresses e‑mail.
  • Métadonnées télécom (collections « idmtelco » dans plusieurs pays).
  • Indicateurs annexes : « breach status » et annotations de profils sociaux (présents selon régions). Cybernews indique que ce champ pourrait référencer l’origine (fuite/base divulguée), sa signification restant indéterminée dans l’article.

⚠️ Impact et risques soulignés

  • Risques en aval à grande échelle : prise de contrôle de comptes, phishing ciblé, fraude au crédit, SIM swap et atteintes durables à la vie privée.
  • La structuration des données facilite l’automatisation par les attaquants (y compris via leurs propres outils d’IA).
  • Variations régionales notables : au Brésil, enregistrements « prefill » avec drapeaux « social-profile » et « databreachesinfo »; dans plusieurs pays, collections « idmtelco » suggérant un enrichissement télécom, renforçant le risque de SIM swapping.

🕒 Chronologie et état

  • Découverte : 11 nov. 2025.
  • Divulgation initiale / correction : 12 nov. 2025 (base sécurisée).
  • Cybernews n’a pas d’éléments attestant d’un abus malveillant au moment de la publication, tout en rappelant que des crawlers d’acteurs menaçants aspirent rapidement les instances exposées.

IOCs et TTPs

  • IOCs : aucun indicateur technique (IP, domaines, hachages) mentionné.
  • TTPs probables/observés côté exposition et menaces associées :
    • Exposition par mauvaise configuration d’une MongoDB accessible publiquement.
    • Balayage/aspiration automatisés d’instances ouvertes par des bots d’acteurs malveillants.
    • Exploitations potentielles évoquées : SIM swapping, phishing ciblé, usurpation d’identité et fraude au crédit.

Conclusion : article de presse spécialisé présentant la découverte d’une fuite de données KYC à grande échelle, ses caractéristiques, son impact mondial et les risques associés.

🔗 Source originale : https://cybernews.com/security/global-data-leak-exposes-billion-records/