A segurança digital nunca esteve tão em evidência e, infelizmente, pelos motivos errados. Em fevereiro de 2026, investigadores do portal Cybernews revelaram um dos maiores vazamentos de dados de identidade já registrados na história da cibersegurança. Um banco de dados da empresa IDMerit, provedora de verificação de identidade digital baseada em inteligência artificial, foi encontrado completamente exposto na internet, sem qualquer tipo de senha ou autenticação. O resultado é alarmante: aproximadamente 1 bilhão de registros pessoais sensíveis de cidadãos de 26 países ficaram acessíveis para qualquer pessoa que soubesse onde procurar.
Neste artigo do blog Dolutech, vamos detalhar tudo o que se sabe sobre esse incidente, entender os riscos envolvidos e apresentar medidas práticas que você pode adotar para se proteger.
O Que é a IDMerit e Por Que Ela Armazena Tantos Dados
A IDMerit é uma empresa sediada na Califórnia, Estados Unidos, que oferece soluções de verificação de identidade digital conhecidas como KYC (Know Your Customer) e triagem contra lavagem de dinheiro (AML). Seus serviços são utilizados por bancos, fintechs, empresas de telecomunicações e outros setores regulados que precisam confirmar a identidade de seus clientes antes de conceder acesso a produtos e serviços financeiros.
Na prática, quando você abre uma conta bancária digital, contrata um serviço de telecomunicação ou faz cadastro em uma plataforma financeira, há uma boa chance de que seus dados pessoais passem por um provedor de verificação como a IDMerit. Isso significa que a empresa acumula, processa e armazena volumes colossais de informações pessoais altamente sensíveis, exatamente o tipo de dado que criminosos cibernéticos mais valorizam.
Como o Vazamento Foi Descoberto
Em 11 de novembro de 2025, pesquisadores da equipe investigativa do Cybernews identificaram uma instância MongoDB completamente desprotegida na internet pública. O banco de dados não possuía nenhum mecanismo de autenticação, ou seja, qualquer pessoa com conhecimento do endereço IP poderia acessar, consultar e até baixar todo o conteúdo armazenado.
Os pesquisadores notificaram a IDMerit no dia seguinte, 12 de novembro de 2025, e a empresa restringiu o acesso ao banco de dados no mesmo dia. No entanto, não se sabe por quanto tempo a base ficou exposta antes da descoberta. A publicação do relatório completo pelo Cybernews ocorreu em 18 de fevereiro de 2026, trazendo o caso ao conhecimento público e gerando grande repercussão no setor de segurança da informação em todo o mundo.
A Dimensão do Vazamento
Os números são verdadeiramente impressionantes. O banco de dados continha múltiplas coleções totalizando mais de 3 bilhões de registros e quase 1 terabyte de dados. Desse total, os pesquisadores estimam que aproximadamente 1 bilhão de registros continham informações pessoais sensíveis e estruturadas, enquanto os 2 bilhões restantes seriam compostos por logs operacionais e metadados do sistema.
Tipos de Dados Expostos
Entre as informações pessoais identificáveis (PII) encontradas no banco de dados estavam nomes completos, endereços residenciais com códigos postais, datas de nascimento, números de identificação nacional (equivalentes ao CPF em diversos países), números de telefone, endereços de e-mail, informações de gênero e metadados de telecomunicações incluindo dados de operadoras móveis. Os pesquisadores também identificaram anotações indicando se determinados indivíduos já haviam aparecido em vazamentos anteriores.
O fato de os dados serem estruturados e detalhados os torna especialmente perigosos, pois podem ser facilmente pesquisados, cruzados e explorados por agentes maliciosos com muito mais eficiência do que dados dispersos e não organizados.
Países Mais Afetados
A exposição atingiu cidadãos de pelo menos 26 nações. Os Estados Unidos foram o país mais impactado, com aproximadamente 204 milhões de registros. Em seguida aparecem México com cerca de 123 milhões, Filipinas com 72 milhões, Alemanha com 61 milhões, Itália com 53 milhões, França com 52 milhões e Turquia com 49 milhões. O Brasil aparece com aproximadamente 39 milhões de registros expostos, seguido por Espanha (31 milhões), Malásia (24 milhões), Vietnã (21 milhões), Argentina (20 milhões), Colômbia (18 milhões), Peru (14 milhões), além de Canadá e Austrália com 12 milhões cada. Outros países afetados incluem Grécia, China, Hong Kong, Emirados Árabes Unidos, Noruega, Romênia, Armênia, Tailândia, Iêmen e Marrocos.
A presença do Brasil com 39 milhões de registros torna este incidente particularmente relevante para nós. Milhões de cidadãos brasileiros podem ter tido seus dados de identidade, telefone e endereço expostos sem sequer saber que a IDMerit possuía essas informações.
O Posicionamento Oficial da IDMerit
A resposta da IDMerit ao incidente gerou bastante controvérsia no meio de segurança da informação. Em comunicado oficial, a empresa afirmou que atua como uma plataforma SaaS (software como serviço) e que não armazena dados de clientes diretamente. Segundo a IDMerit, sua plataforma apenas se conecta a fontes de dados autorizadas globalmente para verificar identidades em nome de seus clientes.
A empresa declarou que conduziu uma revisão interna completa de seu software, controles de segurança, configurações e logs do sistema, e que essa análise não encontrou exposição, vulnerabilidade ou acesso não autorizado dentro de seu ambiente. A IDMerit também informou que seus parceiros de fontes de dados confirmaram que nunca houve violação ou exfiltração de seus sistemas.
Um ponto que chamou a atenção da comunidade de cibersegurança foi a alegação da IDMerit de que os pesquisadores éticos teriam exigido pagamento em troca do relatório de segurança, classificando o episódio como um “incidente relacionado a resgate”. Essa afirmação não foi corroborada pelo Cybernews ou por outras fontes independentes, e a comunidade permanece dividida sobre a veracidade dessa declaração.
Até o momento da publicação deste artigo, a IDMerit não divulgou publicamente quando a configuração incorreta ocorreu, por quanto tempo o banco de dados permaneceu acessível, nem se pretende notificar os indivíduos afetados ou oferecer serviços de monitoramento de crédito. Nenhuma autoridade reguladora anunciou investigações formais sobre o caso.
Por Que Este Vazamento é Tão Grave
Na Dolutech, acompanhamos diariamente incidentes de segurança cibernética, e podemos afirmar que este caso se destaca por diversas razões que o tornam excepcionalmente preocupante.
A Ironia de Uma Empresa de Verificação Expondo Identidades
A IDMerit existe especificamente para proteger e verificar identidades digitais. A exposição de uma base de dados dessa natureza representa uma falha fundamental de confiança. Empresas reguladas que contratam serviços de KYC dependem de que esses fornecedores mantenham padrões rigorosos de segurança. Quando o próprio guardião dos dados falha, toda a cadeia de confiança é comprometida, e o impacto se propaga por todos os setores que dependiam desse serviço.
Dados de Identidade Não Expiram
Diferentemente de senhas, que podem ser trocadas, ou tokens de acesso, que podem ser revogados, dados como números de identidade nacional, datas de nascimento e endereços residenciais permanecem válidos por anos ou até décadas. Uma vez expostos, esses dados podem circular em fóruns clandestinos e mercados da dark web por tempo indeterminado, sendo utilizados repetidamente em esquemas fraudulentos muito tempo depois do vazamento original ter sido encerrado.
Alcance Global e Indireto
Muitas das pessoas cujos dados foram expostos provavelmente nunca ouviram falar da IDMerit. Elas interagiram com bancos, fintechs ou operadoras de telecomunicações que, por sua vez, contrataram a IDMerit como fornecedora de verificação de identidade. Esse caráter indireto torna extremamente difícil para os indivíduos afetados saberem que estão em risco, já que não possuem nenhuma relação direta com a empresa responsável pela exposição.
Riscos Concretos Para as Vítimas
A exposição de dados estruturados de KYC abre portas para uma série de ataques e fraudes que merecem atenção redobrada de todos nós.
Roubo de Identidade e Contas Fraudulentas
Com nomes completos, datas de nascimento e números de identificação nacional em mãos, criminosos podem se passar pelas vítimas para abrir contas bancárias, solicitar empréstimos, contratar serviços ou realizar compras em nome de terceiros. Esse tipo de fraude pode levar meses ou até anos para ser detectado, causando danos financeiros e emocionais consideráveis.
Phishing e Engenharia Social Direcionados
Dados pessoais detalhados permitem que fraudadores criem mensagens de phishing extremamente convincentes, referenciando informações reais da vítima para ganhar credibilidade. Um e-mail que menciona seu endereço correto, seu número de telefone e sua data de nascimento é infinitamente mais persuasivo do que um golpe genérico. Com o volume de dados disponível nesse vazamento, campanhas inteiras de phishing podem ser automatizadas e personalizadas em escala industrial.
Ataques de SIM Swap
Os metadados de telecomunicações presentes no banco de dados, incluindo informações sobre operadoras móveis, facilitam ataques de SIM swap. Nesse tipo de fraude, o criminoso convence a operadora telefônica a transferir o número da vítima para um novo chip, interceptando assim códigos de autenticação enviados por SMS e assumindo o controle de contas protegidas por verificação em duas etapas baseada em mensagens de texto.
Fraudes de Crédito a Longo Prazo
Como os dados de KYC permanecem válidos por muito tempo, as vítimas podem sofrer consequências desse vazamento durante anos, descobrindo atividades fraudulentas apenas quando já houve dano significativo ao seu histórico de crédito ou à sua reputação financeira.
Como Se Proteger: Medidas Práticas
Mesmo que você não tenha certeza de que seus dados estão entre os registros expostos, nós recomendamos a adoção imediata das seguintes medidas preventivas.
Fortaleça Sua Autenticação
Utilize senhas únicas e fortes para cada serviço, armazenadas em um gerenciador de senhas confiável. Ative a autenticação multifator (MFA) em todas as contas que ofereçam essa opção, priorizando aplicativos autenticadores como Google Authenticator, Authy ou Microsoft Authenticator. Sempre que possível, utilize chaves de hardware no padrão FIDO2/U2F, que oferecem proteção superior contra ataques de SIM swap e phishing.
Monitore Seu Crédito e Contas Financeiras
Acompanhe regularmente seus extratos bancários, faturas de cartão de crédito e relatórios de crédito em busca de atividades desconhecidas. No Brasil, o Registrato do Banco Central permite consultar gratuitamente todas as contas e operações financeiras vinculadas ao seu CPF. Essa verificação periódica é fundamental para detectar movimentações fraudulentas o quanto antes.
Desconfie de Comunicações Não Solicitadas
Esteja especialmente atento a e-mails, mensagens de texto ou ligações telefônicas que referenciem seus dados pessoais de forma inesperada. Criminosos que possuem suas informações reais podem criar golpes altamente convincentes. Na dúvida, nunca clique em links recebidos por mensagem e entre em contato diretamente com a empresa supostamente remetente através de canais oficiais verificados.
Considere Serviços de Monitoramento de Identidade
Ferramentas de monitoramento de identidade digital varrem continuamente bases de dados de vazamentos e a dark web em busca de suas informações pessoais, alertando você caso seus dados sejam encontrados em novas exposições. Serviços como o Have I Been Pwned são gratuitos e permitem verificar se seu e-mail já apareceu em vazamentos conhecidos.
Segurança de Bancos de Dados na Nuvem: A Lição Técnica
Do ponto de vista técnico, este incidente ilustra um problema recorrente e alarmante no setor de tecnologia: a exposição de bancos de dados na nuvem por falha de configuração. Instâncias MongoDB, Elasticsearch e outros sistemas de banco de dados são frequentemente implantados sem autenticação adequada, seja por erro humano durante o desenvolvimento, pela migração apressada de ambientes de teste para produção ou pela ausência de políticas de segurança rigorosas.
Para organizações que operam com dados sensíveis, nós da Dolutech reforçamos que algumas práticas são absolutamente essenciais. Nunca implante bancos de dados acessíveis à internet pública sem autenticação robusta. Realize auditorias regulares de configuração em todos os ativos de nuvem. Implemente ferramentas de monitoramento contínuo que alertem sobre recursos expostos indevidamente. Aplique o princípio do menor privilégio em todos os acessos a dados. Exija auditorias de segurança independentes de fornecedores terceirizados, especialmente aqueles que lidam com dados de identidade e KYC. Essas práticas simples, quando aplicadas de forma consistente, podem evitar catástrofes como a que estamos analisando neste artigo.
Considerações Finais
O mega vazamento da IDMerit representa um dos incidentes mais significativos da história recente da cibersegurança, não apenas pelo volume de 1 bilhão de registros, mas pela natureza dos dados expostos e pela ironia de uma empresa de verificação de identidade falhar justamente na proteção dessas identidades.
Este caso nos lembra que a segurança dos nossos dados pessoais frequentemente está nas mãos de empresas com as quais nunca interagimos diretamente, e que a cadeia de custódia de dados é tão forte quanto seu elo mais fraco. A confiança digital depende de cada participante do ecossistema cumprir rigorosamente seu papel, e quando um deles falha, milhões ou até bilhões de pessoas são impactadas.
A Dolutech continuará acompanhando de perto os desdobramentos deste caso e trazendo as informações mais atualizadas sobre segurança cibernética para nossos leitores. Mantenha-se informado, mantenha-se protegido.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.