„16 Milliarden Passwörter gestohlen?“ – Experten zweifeln an Bericht über angeblichen Mega-Datenklau

Ein angeblicher Cyberangriff mit dem Diebstahl von über 16 Milliarden Zugangsdaten hat in den vergangenen Tagen für Aufsehen gesorgt – allerdings vor allem wegen seiner fragwürdigen Faktenlage. Cybersicherheitsexperten kritisieren den zugrunde liegenden Bericht scharf und bezeichnen ihn als irreführend.

Laut dem Portal CyberScoop halten Fachleute die Untersuchung, auf die sich die weit verbreiteten Medienberichte stützen, für wenig belastbar. Die sensationalistische Darstellung lenke eher von der dringend notwendigen Debatte über systematischen Datenmissbrauch ab, statt sie zu fördern.

Auslöser war ein Artikel der Plattform Cybernews, der am Freitag erschien und in dem von einem „größten Datenleck aller Zeiten“ die Rede war. Zahlreiche Medien griffen die Geschichte auf und verbreiteten sie weiter – obwohl der ursprüngliche Bericht kaum konkrete Beweise für die dramatischen Zahlen liefert. Der Beitrag wurde auch von AllAboutSecurity leider ebenfalls veröffentlicht.

Zwar sind Vorfälle mit Milliarden kompromittierter Konten keine Seltenheit mehr und werden in der Branche mit wachsender Sorge betrachtet. Doch im aktuellen Fall begegnen viele Sicherheitsexperten dem Bericht vor allem mit Skepsis – und nicht mit Alarm. Die veröffentlichten Schlussfolgerungen seien überzogen, schlecht belegt und in dieser Form nicht haltbar, so der Tenor.

Die Flut von Inhalten stellt die offengelegten Zugangsdaten als aktuellen, einmaligen und letztlich größten Datenverstoß der Geschichte dar. Mehrere Spezialisten für Incident Response, Forscher und Cybersicherheitsexperten, die mit CyberScoop gesprochen haben, haben diese Behauptungen entweder direkt bestritten oder die Daten und Analysen, auf denen sie basieren, in Frage gestellt.

Selbst wenn die Details des Berichts vom Freitag übertrieben sind, ist der Diebstahl von Zugangsdaten eine reale und allgegenwärtige Bedrohung. Laut Verizon war der Missbrauch von Zugangsdaten im vergangenen Jahr der häufigste Vektor für den ersten Zugriff bei Sicherheitsverletzungen. Infostealer wurden laut einem Bericht von Flashpoint vom März dazu verwendet, im letzten Jahr 2,1 Milliarden Zugangsdaten zu stehlen, was fast zwei Drittel der 3,2 Milliarden Zugangsdaten entspricht, die aus allen Organisationen gestohlen wurden.

Die begrenzten Beweise – nur drei Screenshots –, die von Cybernews und Bob Diachenko, dem die „Entdeckung“ der Zugangsdatenverletzung zugeschrieben wird, vorgelegt wurden, sind jedoch ein entscheidender Knackpunkt. Auf Anfrage räumte Diachenko ein, dass es sich bei den Daten um kumulative Aufzeichnungen seit Jahresbeginn handelt, die nicht auf eine einzelne Datenverletzung zurückzuführen sind.

„Keine unserer CTI-Quellen konnte bestätigen, dass es sich um etwas Neues handelt“, und es gibt keine Rohdateien oder verifizierten Feeds, die Forscher durchsehen könnten, sagte Rob Lee, Forschungsleiter und Fakultätsvorsitzender am SANS Institute.

Allan Liska, Threat Intelligence Analyst bei Recorded Future, kam zu dem gleichen Schluss. „Durch den Vergleich der veröffentlichten Beispieldaten mit früheren Lecks von Anmeldedaten können wir feststellen, dass die meisten, wenn nicht sogar alle dieser Anmeldedaten aus zuvor veröffentlichten Passwort-Dumps stammen. Einige davon sind schon Jahre alt“, sagte er.

„Angesichts des Formats des Lecks ist es wahrscheinlich, dass diese alle aus früheren Infostealer-Kampagnen stammen. Es gibt keine einzelne Kampagne, mit der sie in Verbindung stehen; stattdessen wurden die Passwörter aus Hunderten von verschiedenen Kampagnen gesammelt“, sagte Liska.

Auch wenn die Ergebnisse des Berichts fragwürdig sind, ist es nicht abwegig anzunehmen, dass die meisten Zugangsdaten bereits in der einen oder anderen Form gestohlen wurden. Passwörter sind schon lange nicht mehr zweckmäßig, und Geschichten wie diese unterstreichen die Bedeutung von Multi-Faktor-Authentifizierung und passwortlosen Authentifizierungsmethoden.

Was die Situation noch schlimmer gemacht hat, ist, dass viele Cybersicherheitsunternehmen die Geschichte als Marketingchance für ihre Produkte oder als Gelegenheit genutzt haben, Kommentare von Führungskräften in den Nachrichtenzyklus einzubringen. Dutzende von Unternehmen haben sich in den letzten Tagen an CyberScoop gewandt, um sich zu der Geschichte zu äußern, und sie als Tatsache akzeptiert, ohne interne Untersuchungen durchzuführen oder auf die Bestätigung durch externe Experten zu warten.

Der Passwortmanager Keeper Security veröffentlichte einen Kommentar auf LinkedIn, in dem er „den größten Passwortleck in der Geschichte” als „bestätigt” bezeichnete und die Behauptung wiederholte, dass 16 Milliarden Zugangsdaten von großen Technologieplattformen, darunter Google und Apple, offengelegt worden seien.

Keeper Security erklärte, es sei seine Politik, keine Stellung zu Einzelheiten von Angriffen zu nehmen, ohne über ausreichende Informationen zu verfügen, und hielt an seinem Kommentar fest.

Redaktion AllAboutSecurity

Update am 22.06.2025 / 10:36 Uhr: 

Kommentar von heise Security zur obigen Meldung.