Ein neuer Sicherheitsvorfall erschüttert die Welt der digitalen Identitätsverifizierung: Sicherheitsforscher haben eine ungesicherte Datenbank entdeckt, die mit dem Unternehmen IDMerit in Verbindung gebracht wird und rund eine Milliarde sensible Identitätsdatensätze aus insgesamt 26 Ländern enthielt. Allein aus den Vereinigten Staaten sollen über 203 Millionen Datensätze betroffen sein – frei zugänglich im offenen Internet, ohne jegliche Zugangsbeschränkung.
Was wurde offengelegt?
Bei den exponierten Daten handelt es sich nicht um harmlose Nutzernamen oder E-Mail-Adressen. Die betroffenen Informationen umfassen laut Forschern vollständige Namen, Wohnadressen, Geburtsdaten sowie in vielen Fällen Sozialversicherungsnummern – also genau jene Kombination aus persönlichen Daten, die für Identitätsdiebstahl besonders gefährlich ist. IDMerit positioniert sich als Dienstleister, der Unternehmen dabei hilft, die Identität ihrer Kunden digital zu verifizieren. Damit ist das Unternehmen Teil einer Infrastruktur, die eigentlich Vertrauen und Sicherheit garantieren soll – und hat genau diese Grundlage durch mangelnde Datensicherheit untergraben.
Ein strukturelles Problem der Branche
Der Vorfall reiht sich in eine beunruhigende Serie von Datenpannen bei Identity-Verification-Anbietern ein. Unternehmen dieser Branche sammeln per Definition besonders sensible Daten – schließlich ist der Nachweis der eigenen Identität das Kernprodukt. Gleichzeitig sind viele dieser Anbieter vergleichsweise kleine Akteure mit möglicherweise begrenzten Ressourcen für IT-Sicherheit. Die Ironie liegt auf der Hand: Dienste, die eigentlich vor Betrug und Identitätsmissbrauch schützen sollen, werden selbst zur Schwachstelle im digitalen Ökosystem.
Ungesicherte Datenbanken – oft auf Cloud-Infrastrukturen wie Amazon S3 oder Elasticsearch-Instanzen – sind ein bekanntes und wiederkehrendes Problem. Sicherheitsforscher stoßen regelmäßig auf solche exponierten Datenbanken, die durch Fehlkonfigurationen ohne Passwortschutz öffentlich erreichbar sind. Die schiere Menge von einer Milliarde Datensätzen deutet dabei auf einen längeren Zeitraum hin, in dem die Daten potenziell hätten abgerufen werden können.
Was bedeutet das für Betroffene?
Für Privatpersonen ist die Bedrohungslage ernst zu nehmen. Wer in einem der 26 betroffenen Länder lebt und jemals einen Dienst genutzt hat, der IDMerit zur Identitätsverifizierung einsetzt, muss damit rechnen, dass seine Daten kompromittiert sein könnten. Besonders kritisch ist die Kombination aus Adress- und Sozialversicherungsdaten, da Kriminelle damit Kreditbetrug, gefälschte Behördenanträge oder Kontoeröffnungen in fremdem Namen durchführen können.
Sicherheitsexperten empfehlen in solchen Fällen, Kreditauskünfte regelmäßig zu überprüfen, bei unbekannten Transaktionen sofort zu reagieren und – wo möglich – eine Kreditsperre bei den Auskunfteien zu beantragen. Darüber hinaus sollte auf verdächtige Phishing-Versuche geachtet werden, da die geleakten Daten auch für gezielte Social-Engineering-Angriffe genutzt werden können.
Regulatorischer Druck wächst
Vorfälle dieser Größenordnung dürften den politischen Druck auf strengere Datenschutzregulierungen weiter erhöhen. In der EU greift die DSGVO mit empfindlichen Bußgeldern, doch auch in den USA wird die Diskussion um ein bundesweites Datenschutzgesetz lauter. Für die Branche der Identitätsverifizierungsdienstleister könnte dieser Vorfall ein Wendepunkt sein – hin zu verpflichtenden Sicherheitsaudits und strengeren Zertifizierungsanforderungen.
Quellen: Hacker News