149 Millionen Datensätze in ungeschützter Datenbank entdeckt

Eine ungeschützte Datenbank mit 149 Millionen Login-Daten wurde von Sicherheitsexperte Jeremiah Fowler aufgedeckt. Die Sammlung enthält Zugänge zu Gmail, Facebook, Kryptobörsen und Behördenportalen. Die Daten stammen vermutlich von Infostealer-Malware und zeigen, wie automatisierte Systeme millionenfach Anmeldeinformationen abgreifen.

Umfangreiche Sammlung kompromittierter Konten

Der IT-Sicherheitsforscher Jeremiah Fowler stieß auf eine frei zugängliche Datenbank, die ohne jegliche Authentifizierung über einen Browser erreichbar war. Die Sammlung umfasst Login-Informationen für verschiedenste Online-Dienste: 48 Millionen Gmail-Accounts, 17 Millionen Facebook-Zugänge und 420.000 Konten der Kryptoplattform Binance. Hinzu kommen Zugangsdaten für staatliche Portale mehrerer Länder, Bankkonten und Streamingdienste.

Fowler beschreibt den Fund gegenüber WIRED als äußerst attraktiv für kriminelle Akteure, da die Vielfalt der erfassten Dienste enorm sei. Die Datenbank war ohne Schutzmechanismen im Netz verfügbar.

Automatisiertes System zur Datenerfassung

Die Struktur der Datenbank deutet auf den Einsatz von Infostealer-Malware hin. Diese Schadprogramme infizieren Geräte und nutzen Methoden wie Keylogging, um sämtliche Eingaben auf Webseiten zu protokollieren. Die gefundene Datenbank war offenbar für die automatische Indexierung großer Datenmengen konzipiert.

Während des einmonatigen Zeitraums, in dem Fowler versuchte, den Hosting-Provider zu erreichen, wuchs die Datenbank kontinuierlich. Täglich kamen neue Login-Daten hinzu. Neben den Gmail-Konten fanden sich rund vier Millionen Yahoo-Zugänge, 1,5 Millionen Microsoft-Outlook-Accounts, 900.000 iCloud-Logins und 1,4 Millionen Zugangsdaten mit der Endung .edu für akademische Einrichtungen.

Social-Media- und Entertainment-Plattformen waren ebenfalls erfasst: etwa 780.000 TikTok-Konten, 100.000 OnlyFans-Profile und 3,4 Millionen Netflix-Zugänge. Jeder Datensatz erhielt automatisch eine eindeutige Kennung, die nicht mehrfach vergeben wurde – ein systematischer Ansatz zur Katalogisierung der erbeuteten Informationen.

Kommerzieller Hintergrund wahrscheinlich

Die automatisierte Ordnungsstruktur lässt auf einen kommerziellen Betrieb schließen. Fowler konnte zwar nicht ermitteln, wer die Datenbank betreibt, doch die Organisation würde zu einem Marktplatz passen, auf dem Cyberkriminelle gezielt Datensätze für spezifische Betrugsszenarien erwerben können.

Die Zusammenarbeit mit dem Hosting-Anbieter führte schließlich zur Entfernung der Datenbank. Der globale Provider arbeitet mit regionalen Partnern zusammen – in diesem Fall einem kanadischen Unternehmen. Die Datenbank wurde wegen Verstoßes gegen die Nutzungsbedingungen gelöscht.

Infostealer als Geschäftsmodell

Allan Liska, Analyst für Bedrohungsanalyse bei Recorded Future, erklärt gegenüber WIRED, dass Infostealer die Einstiegshürden für Cyberkriminalität deutlich senken. Untersuchungen zu gängigen Infostealer-Plattformen zeigen, dass der Zugang zu solcher Infrastruktur für 200 bis 300 Dollar monatlich gemietet werden kann.

Diese geringen Kosten haben den Diebstahl von Zugangsdaten von einer Spezialdisziplin zu einem verfügbaren Service transformiert. Kriminelle ohne tiefergehende technische Kenntnisse können so Zugriff auf hunderttausende neue Login-Daten pro Monat erhalten.

Weitreichende Konsequenzen für Nutzer

Die 149 Millionen in dieser Datenbank erfassten Konten sind bereits kompromittiert. Auch nach der Entfernung der öffentlich zugänglichen Datenbank befinden sich die Informationen vermutlich in kriminellen Netzwerken. Personen, die identische Passwörter für mehrere Dienste verwenden, sind einem erhöhten Risiko ausgesetzt, da Angreifer die Zugangsdaten auf zahlreichen Plattformen testen.

Die Reichweite dieses Vorfalls macht ihn besonders relevant. Anders als gezielte Angriffe auf einzelne Unternehmen deckt diese Sammlung das gesamte digitale Spektrum ab. Kriminelle können die Daten für maßgeschneiderte Phishing-Kampagnen nutzen, Konten übernehmen oder die Zugänge auf Untergrundmärkten verkaufen.

Präventionsmaßnahmen erforderlich

Der Vorfall zeigt die Industrialisierung des Identitätsdiebstahls durch Infostealer-Malware. Die Infrastruktur dieser Systeme sammelt kontinuierlich neue Datensätze. Für Anwender bedeutet dies, dass individuelle Passwörter für jeden Dienst sowie Multi-Faktor-Authentifizierung mittlerweile notwendige Schutzmaßnahmen darstellen.

Unternehmen und Plattformbetreiber müssen Systeme zur Erkennung und Abwehr von Angriffen auf Zugangsdaten implementieren, bevor gestohlene Login-Informationen in großem Umfang missbraucht werden können.

Weitere spannende Beiträge: