Skip to content
Fuite de donnéesContenu

Fuite de données chez IDMerit - Base de donnée exposée

Une base MongoDB non protégée liée au prestataire de vérification d'identité IDMerit a exposé environ 1 milliard d'enregistrements KYC dans 26 pays, dont noms, adresses, dates de naissance, numéros d'identité nationaux, téléphones et e-mails.

Victime
IDmerit
données
1.00B

Le 21 février 2026, IDMerit — un prestataire mondial de vérification d'identité et de KYC (Know Your Customer) au service de banques, de fintechs et d'autres acteurs des services financiers — a été signalé comme ayant exposé environ 1 milliard d'enregistrements d'identité sensibles via une base de données non sécurisée. La France figure parmi les 26 pays dont les résidents sont concernés.

L'exposition provient d'une instance MongoDB mal configurée, laissée en ligne sans aucune protection par mot de passe : toute personne connaissant son emplacement pouvait en consulter le contenu. Les chercheurs de Cybernews ont découvert cette base ouverte le 11 novembre 2025 ; elle a été sécurisée le lendemain. Les données couvraient 26 pays, les États-Unis représentant à eux seuls plus de 203 millions d'enregistrements, avec également des volumes importants liés au Mexique, aux Philippines, à l'Allemagne, à l'Italie et à la France.

Les catégories de données exposées comprenaient :

  • Noms complets et genre
  • Adresses postales et codes postaux
  • Dates de naissance
  • Numéros d'identité nationaux
  • Numéros de téléphone et adresses e-mail
  • Certaines métadonnées télécoms et indicateurs internes mentionnant des fuites antérieures

IDMerit a affirmé que son propre environnement et ses systèmes n'avaient jamais été compromis, attribuant ces enregistrements à des données de vérification et indiquant que son examen interne n'avait révélé aucune vulnérabilité ni accès non autorisé. Aucune preuve publique n'indique que des criminels aient téléchargé les données avant leur retrait, mais ces informations d'identité exposées créent un risque durable d'usurpation d'identité, d'hameçonnage et de fraude par échange de carte SIM (SIM-swap) pour les personnes concernées.

Sources

  1. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-02-21-idmerit
  2. foxnews.comhttps://www.foxnews.com/tech/1-billion-identity-records-exposed-id-verification-data-leak
  3. pandasecurity.comhttps://www.pandasecurity.com/en/mediacenter/customer-records-idmerit-unprotected/
  4. tomsguide.comhttps://www.tomsguide.com/computing/online-security/1-billion-personal-records-from-26-countries-exposed-in-massive-new-data-leak-how-to-stay-safe

Incidents liés