LONDON, 24. Januar 2026, 12:01 (GMT)
- Forscher Jeremiah Fowler entdeckte 149.404.754 einzigartige Logins und Passwörter in einer ungesicherten Online-Datenbank, die später offline genommen wurde.
- Der Datensatz enthielt etwa 48 Millionen Gmail-Zugangsdaten sowie Logins, die mit sozialen Netzwerken, Streaming-Diensten, Krypto-Konten und einigen Regierungsdomains verknüpft sind.
- Analysten warnten, dass kostengünstige „Infostealer“-Malware-Dienste mit solchen Daten automatisierte Kontoübernahmen durchführen können.
Eine offene Online-Datenbank mit rund 149 Millionen gestohlenen Benutzernamen und Passwörtern – davon etwa 48 Millionen mit Gmail-Konten verknüpft – wurde offline genommen, nachdem ein Forscher den Hoster darauf aufmerksam gemacht hatte, berichtete der Cybersicherheitsexperte Jeremiah Fowler. Fowler stellte fest, dass der 96-Gigabyte-Dump „nicht passwortgeschützt oder verschlüsselt“ war. (ExpressVPN)
Diese Entdeckung ist bedeutsam, da solche Sammlungen direkt in Credential-Stuffing-Angriffe einfließen – automatisierte Attacken, bei denen gestohlene Passwörter auf verschiedenen beliebten Seiten ausprobiert werden – und gezieltere Phishing-Kampagnen ermöglichen, insbesondere wenn die Daten direkte Login-URLs enthalten.
Dies geschieht zu einer Zeit, in der Infostealer-Malware – bösartige Software, die Zugangsdaten von infizierten Geräten stiehlt – sich von vereinzelten Angriffen zu einer ständigen Bedrohung entwickelt hat.
Fowler bezeichnete den Datensatz in einem Interview mit WIRED als eine „Traum-Wunschliste für Kriminelle“. Allan Liska, Threat-Intelligence-Analyst bei Recorded Future, wies darauf hin, dass Infostealer eine „sehr niedrige Einstiegshürde“ bieten und erwähnte, dass das Mieten erstklassiger Infrastruktur in der Regel zwischen 200 und 300 US-Dollar pro Monat kostet. (WIRED)
TechRepublic enthüllte, dass die offengelegten Protokolle mehr als nur eine einfache Passwortliste enthielten. Sie umfassten E-Mail-Adressen, Benutzernamen und direkte Links zu den Seiten, auf denen diese Zugangsdaten getestet werden konnten. Diese Struktur erleichtert es Angreifern, Kontoübernahmen schnell zu automatisieren, bevor Nutzer ihre Passwörter ändern oder Plattformen kompromittierte Konten deaktivieren. (TechRepublic)
Fowler stellte fest, dass die von ihm untersuchten Datensätze alles abdeckten – von sozialen Netzwerken und Streaming-Plattformen bis hin zu Dating-Apps sowie Finanzkonten wie Bank- und Krypto-Handels-Logins, und das alles innerhalb einer begrenzten Stichprobe.
Er wies außerdem auf Zugangsdaten hin, die mit Regierungsdomains „.gov“ verknüpft sind, die für Identitätsdiebstahl ausgenutzt werden könnten oder – je nach Zugriffslevel – als Einstiegspunkt für größere Angriffe dienen könnten.
Er sagte, die Datenbank habe keinerlei Eigentümerangaben enthalten, und es habe mehrere Versuche über fast einen Monat gebraucht, bis das Hosting schließlich abgeschaltet wurde.
Fowler bemerkte, dass die Anzahl der Datensätze von dem Moment an, als er die Daten fand, bis zur Abschaltung zunahm, was das Risiko erhöhte, dass andere in diesem Zeitraum eine Kopie anfertigen konnten.
Das Security Magazine berichtete, dass der Cache etwa 48 Millionen Gmail-Konten, 4 Millionen Yahoo-Logins und 1,5 Millionen für Microsoft Outlook enthielt, plus Millionen, die mit sozialen Medien und Streaming-Plattformen verknüpft sind. Shane Barney, Chief Information Security Officer von Keeper Security, merkte an: „Dies ist kein Datenleck im herkömmlichen Sinne.“ (Securitymagazine)
SC Media stellte fest, dass sich die Datenbank von früheren Infostealer-Dumps, die Fowler untersucht hat, abhob, da sie zusätzliche Felder wie einen umgekehrten Hostnamen und einen eindeutigen Zeilen-Hash für jeden Datensatz enthielt. „Infostealer-Leaks wie dieses geben nicht nur einzelne Konten preis“, sagte Boris Cipot, Senior Security Engineer bei Black Duck, gegenüber SC Media in einer E-Mail. (SC Media)
Eine Unbekannte bleibt: Die offengelegten Zugangsdaten könnten sowohl veraltete als auch aktuelle enthalten, und viele sind möglicherweise nicht mehr gültig, wenn Nutzer Passwörter geändert oder Anbieter Zurücksetzungen erzwungen haben. Dennoch könnte das Ändern von Passwörtern nur vorübergehend helfen, falls Malware weiterhin auf dem Gerät ist, da der nächste Login erneut abgefangen werden könnte.
Sicherheitsexperten empfehlen in der Regel, die Zwei-Faktor-Authentifizierung zu aktivieren – ein zusätzlicher Anmeldeschritt wie ein Code oder eine App-Bestätigung – und die Wiederverwendung von Passwörtern zu vermeiden. Auf Unternehmensseite überwachen viele plötzliche Anstiege bei automatisierten Anmeldungen und blockieren verdächtige Versuche, wobei diese Schutzmaßnahmen jedoch je nach Dienst stark variieren.
Das Entfernen einer öffentlichen Kopie der Datenbank ist nur ein kleiner Erfolg – Zugangsdaten-Dumps verbreiten sich nach ihrem Auftauchen meist sehr schnell. Für Organisationen bleibt die Warnung dieselbe: Gestohlene Passwörter sind weiterhin eine große Schwachstelle, und der Nachschub reißt nicht ab.
