NEW YORK, 25. Januar 2026, 08:27 EST
- Ein Forscher entdeckte eine ungesicherte Datenbank mit etwa 149 Millionen Benutzername-Passwort-Kombinationen, was zu deren Entfernung aus dem Internet führte
- Der Fund enthielt zig Millionen Logins von Gmail und Facebook sowie von Bank-, Streaming- und Krypto-Konten
- Forscher brachten den Datensatz mit „Infostealer“-Malware in Verbindung, nicht mit einer Kompromittierung einer einzelnen großen Plattform
Eine ungesicherte Datenbank mit etwa 149 Millionen Benutzernamen und Passwörtern – darunter 48 Millionen, die mit Gmail verknüpft sind, und 17 Millionen, die mit Facebook in Verbindung stehen – wurde offline genommen, nachdem ein Sicherheitsforscher den Hosting-Anbieter alarmiert hatte, wie Berichte zeigen. Allan Liska, Bedrohungsanalyst bei Recorded Future, merkte an, dass „Infostealer eine sehr niedrige Einstiegshürde für neue Kriminelle schaffen“ und verwies auf Tools, die schon für ein paar Hundert Dollar im Monat gemietet werden können. (WIRED)
Diese Offenlegung ist ernst, da Passwortlisten wie diese es Hackern ermöglichen, E-Mail- und Social-Media-Konten zu übernehmen – Zugangspunkte, um Anmeldedaten auf anderen Plattformen zurückzusetzen. Sie befeuern auch Phishing-Angriffe, bei denen Betrüger Banken, Kollegen oder Support-Teams imitieren, um weitere Informationen zu stehlen.
Forscher verfolgten den Datensatz zurück zu „Infostealer“-Malware – einer Art bösartiger Software, die darauf ausgelegt ist, unbemerkt Zugangsdaten von infizierten Geräten zu stehlen, oft durch das Aufzeichnen von Tastatureingaben. Das deutet auf einen weit verbreiteten, chaotischen Diebstahl direkt auf den Geräten hin, statt auf eine gezielte Kompromittierung der Server eines einzelnen Unternehmens.
Jeremiah Fowler berichtete für ExpressVPN, dass die Datenbank weder passwortgeschützt noch verschlüsselt war und 149.404.754 einzigartige Zugangsdaten enthielt – etwa 96 Gigabyte unbearbeitete Daten. Er stellte fest, dass die Proben E-Mails, Benutzernamen, Passwörter und die genauen URLs enthielten, auf denen die Logins erfolgten – ein Faktor, der automatisierte Angriffe beschleunigen könnte. (ExpressVPN)
Der geleakte Datensatz umfasste eine breite Palette von Verbraucherdiensten wie Instagram, Netflix, TikTok, Yahoo, Outlook und iCloud sowie Finanzkonten und Krypto-Plattformen, berichtete TechRepublic. Fowler warnte, dass Zugangsdaten, die mit Regierungs-E-Mail-Domains verknüpft sind, „gezieltes Spear-Phishing, Identitätsdiebstahl oder als Einstiegspunkt in Regierungsnetzwerke“ ermöglichen könnten. (TechRepublic)
People.com, mit Verweis auf Fowlers Bericht, räumte ein, dass es die Ergebnisse nicht unabhängig bestätigen konnte, und wies darauf hin, dass Kriminelle häufig riesige Datensätze ungesichert lassen, um Geschwindigkeit und Reichweite zu maximieren. Fowler warnte, dass die Kombination aus Zugangsdaten und Login-Links „die Wahrscheinlichkeit von Betrug, potenziellem Identitätsdiebstahl, Finanzkriminalität und Phishing-Kampagnen dramatisch erhöht.“ (People)
Über die Zusammenstellung der Datenbank oder darüber, wie lange sie offen zugänglich war, ist kaum etwas bekannt, berichtete TechRadar. Es dauerte fast einen Monat, bis sie entfernt wurde, nachdem der Hosting-Anbieter zunächst eine Tochtergesellschaft verantwortlich gemacht hatte, die eigenständig gehandelt habe. Das Magazin merkte an, dass die Daten offenbar für eine leichtere Suche indexiert waren, was darauf hindeutet, dass sie wahrscheinlich zur Wiederverwendung erstellt wurden und nicht einfach versehentlich offengelegt wurden. (TechRadar)
Aber diese Schlagzeilenzahlen können täuschen. Fowler gab zu, dass er nicht herausfinden konnte, wer den Server betreibt, und es ist weiterhin unklar, wie viele Zugangsdaten aktuell sind, wie viele von aktiven Konten stammen oder wie viele bereits zuvor veröffentlicht wurden.
Der Datensatz allein beweist nicht, dass Google, Meta oder andere genannte Unternehmen direkt gehackt wurden. Von Infostealern erbeutete Daten stammen in der Regel von kompromittierten Geräten, bevor sie gesammelt, weiterverkauft, erneut veröffentlicht und mit älteren Leaks vermischt werden.
Fowler riet Nutzern laut seinem Bericht und entsprechender Berichterstattung, ihre Kontenaktivitäten zu überprüfen, die Sicherheitseinstellungen zu verstärken und davon abzusehen, Passwörter auf mehreren Seiten wiederzuverwenden. Sicherheitsexperten empfehlen häufig die Zwei-Faktor-Authentifizierung – eine zusätzliche Absicherung durch einen Code oder biometrischen Scan –, wenn Passwörter kompromittiert wurden.
Für Unternehmen und öffentliche Einrichtungen geht die Bedrohung über Verbraucherbetrug hinaus. Mitarbeiter-E-Mail-Logins und „.edu“- oder „.gov“-Zugangsdaten können Angreifern helfen, glaubhaftere Phishing-Versuche zu starten oder sogar auf interne Systeme zuzugreifen, wenn Passwörter wiederverwendet werden.
Das Entfernen einer Datenbank beseitigt nicht die Folgen. Kopien können sich schnell verbreiten, und der Handel mit gestohlenen Zugangsdaten floriert weiter – eine ständige Quelle für Betrügereien, die eher auf frische Zugangsdaten und Geduld als auf Komplexität setzen.
