Un database non protetto, collegato secondo i ricercatori a IDMerit, ha esposto circa un miliardo di dati personali relativi a 26 Paesi. L’istanza, basata su MongoDB e con una dimensione di quasi un terabyte, conteneva informazioni riconducibili a procedure KYC (Know Your Customer) utilizzate nei settori fintech e dei servizi finanziari. La scoperta è stata effettuata dal team di ricerca di Cybernews l’11 novembre 2025. L’azienda è stata informata immediatamente e il database è stato messo in sicurezza il giorno successivo. Non risultano prove di un utilizzo illecito dei dati, ma i ricercatori sottolineano che crawler automatici impiegati da attori malevoli monitorano costantemente la rete alla ricerca di istanze esposte.
I numeri della fuga di dati
Secondo l’analisi, il database conteneva complessivamente circa 3 miliardi di record, di cui un miliardo attribuibile a dati personali sensibili e due miliardi a registri di database probabilmente meno critici. Il Paese più colpito è risultato essere gli Stati Uniti, con oltre 203 milioni di record esposti. Seguono Messico con 124 milioni e Filippine con 72 milioni. In Europa risultano coinvolte Germania con 61 milioni di record, Italia con 53 milioni e Francia con 53 milioni. La distribuzione geografica e la presenza di database parzialmente sovrapposti suggeriscono una raccolta strutturata e organizzata per Paese.
Quali dati sono stati esposti
Le informazioni trapelate includono dati identificativi personali ad alto rischio:
- nomi completi
- indirizzi e codici postali
- date di nascita
- numeri di documenti d’identità nazionali
- numeri di telefono
- indirizzi email
- genere
- metadati delle telecomunicazioni
- annotazioni relative a stato di violazione o profili social
In alcune regioni sono stati rilevati dataset denominati “idmtelco”, che suggeriscono un arricchimento con dati legati alle telecomunicazioni. In Brasile, ad esempio, erano presenti flag collegati a profili social e riferimenti a precedenti violazioni, con possibili implicazioni per frodi mirate.
Perché una fuga KYC è particolarmente critica
Le procedure KYC rappresentano un’infrastruttura essenziale dell’economia digitale. Servono a verificare l’identità degli utenti nella creazione di conti finanziari, wallet digitali, servizi fintech e piattaforme regolamentate. Un’esposizione di questa portata aumenta il rischio di:
- furto di identità
- phishing mirato
- frodi creditizie
- SIM swapping
- compromissione di account
Secondo i ricercatori, la presenza di identificatori completi come ID nazionali, date di nascita e recapiti telefonici costituisce una base ideale per campagne di ingegneria sociale e per l’automatizzazione di attacchi su larga scala. Il rischio non è limitato ai singoli individui. I fornitori di identità digitale sono ormai infrastrutture critiche. Un singolo punto di vulnerabilità può trasformarsi in un fattore di rischio sistemico.
Un fenomeno sempre più frequente
Il caso si inserisce in un contesto di esposizioni massive sempre più ricorrenti. Negli ultimi mesi sono stati segnalati database con miliardi di record, tra cui cluster Elasticsearch con 8,7 miliardi di dati e raccolte contenenti fino a 16 miliardi di credenziali di accesso riferite a servizi online e piattaforme governative. La dimensione e la frequenza di queste esposizioni mostrano come la gestione sicura dei database rappresenti una priorità non solo tecnica ma sistemica, in particolare quando si tratta di dati KYC che costituiscono la base dell’identità digitale globale.
