Dijital çağda en değerli para birimi olan kimliğimiz, onu korumakla görevli devasa bir şirketin akılalmaz güvenlik zafiyeti kurbanı oldu. Yapay zeka destekli dijital kimlik doğrulama sektörünün küresel oyuncularından IDMerit, tarihin en yıkıcı güvenlik felaketlerinden birine imza atarak milyarlarca insanın hayatını riske attı. Şirketin hiçbir şifreleme olmaksızın açık bıraktığı devasa veritabanı, aralarında Amerika Birleşik Devletleri, Almanya, Fransa ve Brezilya'nın da yer aldığı onlarca ülkedeki vatandaşların en kritik bilgilerini siber suçluların önüne serdi. Sadece ABD pazarında 204 milyon kişinin kayıtları savunmasız bir şekilde internet ortamında bırakıldı. Sızdırılan belgeler arasında tam isimler, ev adresleri, ulusal kimlik numaraları ve kişisel telefon numaraları gibi eşi benzeri görülmemiş bir bilgi hazinesi bulunuyor.
Finansal hayatın dijital anahtarları ortalığa saçıldı
Söz konusu şirket, temel olarak "Müşterini Tanı" (KYC) prosedürleri üzerinden hizmet veren yapay zeka tabanlı bir doğrulama sağlayıcısı olduğu için, elinde tuttuğu verilerin hassasiyeti korkunç boyutlarda. Herhangi bir koruma kalkanı olmadan açık bırakılan 1 terabaytlık devasa veritabanı, sıradan parolaların çok ötesinde, doğrudan bireylerin finansal ve dijital yaşamlarının merkezinde yer alan temel kimlik belirleyicileri içeriyordu. Herkesin kolayca erişip indirebileceği bu yapılandırılmış kişisel veri yığını; tam adlar, ikamet adresleri, posta kodları, doğum tarihleri, ulusal kimlik kartı numaraları, cinsiyet bilgileri, e-posta adresleri ve telekomünikasyon meta verilerini barındırıyordu. Uzmanlar, bu ölçekteki bir veri sızıntısı vakasının hesap devralma operasyonlarına, hedefli oltalama saldırılarına ve banka dolandırıcılıklarına doğrudan zemin hazırladığını vurguluyor.
Gözlemciler sızıntıyı anında tespit etti
Araştırmacılar, finans teknolojileri ve finansal hizmetler sektörüne gerçek zamanlı doğrulama araçları sunan bu şirketin korumasız sunucusunu 11 Kasım 2025 tarihinde fark etti. Olayın vahameti üzerine derhal şirket yetkilileriyle temasa geçildi ve veritabanı apar topar güvenliğe alındı. Şu an için bu verilerin kötü niyetli gruplar tarafından aktif olarak kullanıldığına dair somut bir kanıt bulunmasa da, siber suçluların kurduğu otomatik tarayıcı robotların bu tür açık hedefleri saniyeler içinde tespit edip kopyaladığı bilinen bir gerçek. Uzmanlar, üçüncü taraf kimlik satıcılarının kritik birer altyapı haline geldiğini ve bu olayda olduğu gibi tek bir noktanın çökmesiyle tüm sistemin felakete sürüklenebileceğini belirtiyor.
Sınırları aşan küresel bir güvenlik zafiyeti
Yaşanan bu devasa veri ihlali olayının en çarpıcı yönü, coğrafi yaygınlığı ve boyutu oldu. Toplamda üç milyar kaydın yer aldığı veritabanında, doğrudan 20'den fazla ülkeye ait hassas dilimler bulunuyor. Bir milyar kaydın doğrudan kritik kişisel verileri ifşa ettiği, geriye kalan iki milyarlık kısmın ise nispeten daha az risk taşıyan sistem günlüklerinden oluştuğu tahmin ediliyor. Sızıntıdan en çok yara alan ülke 203 milyon kayıtla ABD olurken, onu 124 milyonla Meksika ve 72 milyonla Filipinler izledi. Avrupa kıtasında ise Almanya, İtalya ve Fransa gibi devler milyonlarca vatandaşının bilgisinin sızdırılmasıyla sarsıldı. Saldırganların en çok sevdiği şeyin iyi yapılandırılmış veriler olduğu düşünüldüğünde, bu sızıntının organize suç örgütlerine altın tepside sunulmuş bir fırsat olduğu açıkça görülüyor.
Sıradan sızıntılardan çok daha tehlikeli bir boyut
Geçmişte sadece e-posta adreslerinin veya basit parolaların çalındığı eski tip sızıntıların aksine, bu olaydaki verilerin kusursuz bir şekilde yapılandırılmış olması tehlikenin boyutunu katlıyor. Siber korsanlar, ellerindeki yapay zeka araçlarını kullanarak bu verileri çok daha sofistike saldırılara dönüştürebilir. Sızdırılan ulusal kimlik numaraları ve telekom verileri sayesinde, suçluların kurbanların telefon numaralarını ele geçirdiği SIM kart kopyalama saldırıları hız kazanabilir. Aynı şekilde, kişilerin gerçek ev adresleri ve yasal kimlik hırsızlığı için kullanılabilecek belgelerle çok daha inandırıcı dolandırıcılık senaryoları üretilebilir. Özellikle son dönemde Çin vatandaşlarına ait 8,7 milyar kaydın veya devasa platformlardan sızan milyarlarca giriş bilgisinin çalınması gibi olaylar, siber güvenlik dünyasında dev sızıntıların artık korkutucu bir rutine dönüştüğünü gösteriyor.
Bireysel korunma kalkanınızı hemen oluşturun
Böylesine devasa bir sızıntının ardından dijital varlıklarınızı korumak için atılması gereken bazı acil adımlar bulunuyor. İlk olarak, sızdırılan verilerinizle adınıza izinsiz kredi çekilmesini veya finansal işlemler yapılmasını önlemek için bankanızla iletişime geçerek kredi raporlarınızı kilitlemeniz büyük önem taşıyor. Ayrıca, SMS tabanlı güvenlik doğrulamasından acilen uzaklaşıp, dijital kimlik doğrulayıcı uygulamalara veya fiziksel donanım anahtarlarına geçiş yapmalısınız. Son olarak, sizi resmi bir kurumdan veya bankadan aradığını iddia ederek ev adresinizi ya da kimlik numaranızı teyit etmek isteyen kişilere karşı son derece şüpheci yaklaşmalı, görüşmeyi sonlandırıp ilgili kurumu resmi numaralarından bizzat arayarak durumu teyit etmelisiniz.
