Massives Datenleck: 16 Milliarden Passwörter im Netz veröffentlicht

Bei einem der größten bekannten Datenlecks der Geschichte wurden rund 16 Milliarden Zugangsdaten gestohlen und öffentlich gemacht. Betroffen sind unter anderem Logins zu Diensten wie Facebook, Google, Apple und zahlreichen weiteren Plattformen.

Die gigantische Sammlung an gestohlenen Passwörtern stammt offenbar aus mehreren Datenbanken, die von sogenannten Infostealern – Schadprogrammen zum Ausspähen sensibler Informationen – zusammengestellt wurden. Insgesamt sollen über 320 Millionen Geräte betroffen sein.

IT-Sicherheitsexperten warnen vor den potenziell weitreichenden Folgen: Die veröffentlichten Daten könnten für gezielte Angriffe wie Identitätsdiebstahl, Kontoübernahmen und Phishing missbraucht werden.

Dieser Artikel, der auf einzigartigen Erkenntnissen von Cybernews basiert und ursprünglich am 18. Juni auf der Website veröffentlicht wurde, wird aufgrund der öffentlichen Diskussion ständig mit Klarstellungen und zusätzlichen Informationen aktualisiert. Die neueste Version des Artikels enthält Kommentare von Aras Nazarovas, Forscher bei Cybernews, und Bob Diachenko, der diese jüngsten Datenlecks aufgedeckt hat. Außerdem haben wir einige Screenshots als Beweis für das Leck hinzugefügt.

Wichtigste Erkenntnisse:

• Der größte Datenverstoß in der Geschichte betrifft 16 Milliarden Anmeldedaten
• Die Datensätze sind über 30 verschiedene Datenbanken verstreut, wobei sich einige Datensätze überschneiden oder überschneiden könnten
• Die Daten stammen höchstwahrscheinlich von verschiedenen Infostealern
• Die Daten sind aktuell und nicht nur aus alten Datenverstößen recycelt
• Cyberkriminelle haben nun beispiellosen Zugriff auf persönliche Zugangsdaten und könnten diese für Kontoübernahmen, Identitätsdiebstahl und gezielte Phishing-Angriffe missbrauchen.

Das unnötige Sammeln sensibler Informationen kann genauso schädlich sein wie der aktive Versuch, diese zu stehlen. So hat das Forschungsteam von Cybernews eine Vielzahl riesiger Datensätze entdeckt, die Milliarden von Login-Zugangsdaten enthalten. Von sozialen Medien und Unternehmensplattformen bis hin zu VPNs und Entwicklerportalen wurde nichts ausgelassen.

Das Team hat das Internet seit Anfang des Jahres genau beobachtet. Bislang wurden 30 exponierte Datensätze entdeckt, die jeweils zwischen mehreren zehn Millionen und über 3,5 Milliarden Datensätze enthalten. Insgesamt haben die Forscher unglaubliche 16 Milliarden Datensätze aufgedeckt.

Mit einer Ausnahme wurden keine der exponierten Datensätze zuvor gemeldet: Ende Mai berichtete das Magazin Wired über einen Sicherheitsforscher, der eine „mysteriöse Datenbank” mit 184 Millionen Datensätzen entdeckt hatte. Diese Zahl reicht jedoch nicht einmal für die Top 20 der Entdeckungen des Teams. Am beunruhigendsten ist, dass laut den Forschern alle paar Wochen neue riesige Datensätze auftauchen, was zeigt, wie weit verbreitet Infostealer-Malware tatsächlich ist.

„Dies ist nicht nur eine Datenpanne – es ist ein Entwurf für massiven Missbrauch. Mit über 16 Milliarden offengelegten Anmeldedaten haben Cyberkriminelle nun beispiellosen Zugriff auf persönliche Zugangsdaten, die für Kontoübernahmen, Identitätsdiebstahl und gezieltes Phishing genutzt werden können. Besonders besorgniserregend sind die Struktur und die Aktualität dieser Datensätze – es handelt sich nicht nur um alte Daten, die wiederverwertet werden. Dies sind brandaktuelle, missbrauchsfähige Informationen in großem Umfang“, so die Forscher.

Der einzige Lichtblick ist, dass alle Datensätze nur kurzzeitig offengelegt waren: lange genug, damit die Forscher sie aufdecken konnten, aber nicht lange genug, um herauszufinden, wer die riesigen Datenmengen kontrollierte. Die meisten Datensätze waren vorübergehend über ungesicherte Elasticsearch- oder Objektspeicherinstanzen zugänglich.

Was enthalten die Milliarden von offengelegten Datensätzen?

Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Stealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind.

Es gab keine Möglichkeit, die Daten aus verschiedenen Datensätzen effektiv zu vergleichen, aber man kann mit Sicherheit sagen, dass es Überschneidungen gibt. Mit anderen Worten: Es ist unmöglich zu sagen, wie viele Personen oder Konten tatsächlich offengelegt wurden.

Die Informationen, die das Team sammeln konnte, zeigten jedoch, dass die meisten Daten einer klaren Struktur folgten: URL, gefolgt von Anmeldedaten und einem Passwort. Die meisten modernen Infostealer – Schadprogramme, die sensible Daten stehlen – sammeln Daten auf genau diese Weise.

Die Informationen in den durchgesickerten Datensätzen öffnen die Türen zu so ziemlich jedem erdenklichen Online-Dienst, von Apple, Facebook und Google bis hin zu GitHub, Telegram und verschiedenen Regierungsdiensten. Bei 16 Milliarden Datensätzen ist es schwer, etwas zu übersehen.

Den Forschern zufolge sind Datenlecks in dieser Größenordnung ein gefundenes Fressen für Phishing-Kampagnen, Kontoübernahmen, Ransomware-Angriffe und Business E-Mail Compromise (BEC)-Angriffe.

„Die Tatsache, dass sowohl alte als auch aktuelle Infostealer-Protokolle enthalten sind – oft mit Tokens, Cookies und Metadaten – macht diese Daten besonders gefährlich für Unternehmen, die keine Multi-Faktor-Authentifizierung oder Maßnahmen zum Schutz von Anmeldedaten implementiert haben“, so das Team.

Welcher Datensatz enthielt Milliarden von Zugangsdaten?

Die betroffenen Sammlungen unterscheiden sich deutlich in Umfang und Herkunft.

Der kleinste Datensatz, benannt nach einer Schadsoftware, enthielt rund 16 Millionen Einträge. Der bislang größte identifizierte Datensatz umfasst mehr als 3,5 Milliarden Zugangsdaten und steht vermutlich im Zusammenhang mit Nutzern aus portugiesischsprachigen Regionen. Im Schnitt enthielt jeder analysierte Datensatz rund 550 Millionen Anmeldedaten.

Während einige der Sammlungen eher vage mit Begriffen wie „Logins“ oder „Anmeldedaten“ betitelt wurden, gaben andere Hinweise auf Herkunft oder Zielplattformen. So trug ein Datensatz mit über 455 Millionen Einträgen einen Namen, der auf einen Ursprung in der Russischen Föderation schließen lässt. Ein weiterer, mit mehr als 60 Millionen Datensätzen, wurde „Telegram“ genannt – möglicherweise in Bezug auf die gleichnamige Messaging-Plattform.

Besonders besorgniserregend ist laut den Forschern, dass viele dieser Datensätze nicht nur Benutzernamen und Passwörter enthalten, sondern auch Tokens, Cookies und Metadaten aus sogenannten Infostealer-Protokollen. Diese Kombination macht die Daten für Cyberangriffe besonders wertvoll – insbesondere für Unternehmen ohne Multi-Faktor-Authentifizierung oder Maßnahmen zur Bereinigung kompromittierter Anmeldedaten.

Auch wenn die Benennung der Datensätze keinen eindeutigen Rückschluss auf deren Ursprung zulässt, weisen viele Dateien auf Cloud-Dienste, Unternehmensdaten oder sogar gesperrte Inhalte hin. Einige Namen deuten zudem auf die verwendete Malware zur Datenerhebung hin.

„Die Einbeziehung sowohl alter als auch neuer Infostealer-Protokolle – oft mit Tokens, Cookies und Metadaten – macht diese Daten besonders gefährlich für Unternehmen, die keine Multi-Faktor-Authentifizierung oder Maßnahmen zur Bereinigung von Anmeldedaten einsetzen“, so das Team.

Wer hinter dem Leak steckt, bleibt unklar. Möglich ist, dass ein Teil der Daten von Sicherheitsforschern stammt, die Leaks dokumentieren und beobachten. Es gilt jedoch als sicher, dass auch Sammlungen von Cyberkriminellen darunter sind. Diese nutzen aggregierte Zugangsdaten für groß angelegte Angriffe wie Identitätsdiebstahl, Phishing oder unbefugten Zugriff auf Konten. Selbst mit einer Erfolgsquote von unter einem Prozent könnten Millionen Nutzer betroffen sein.

Was können Nutzer tun?

Da die Herkunft der Daten unklar ist, haben Betroffene nur begrenzte Handlungsmöglichkeiten. Sicherheitsexperten raten dennoch zu konsequenter Cyberhygiene: Die Nutzung von Passwort-Managern, das regelmäßige Ändern von Passwörtern und der Verzicht auf Wiederverwendung sensibler Zugangsdaten sind essenziell. Außerdem sollten Systeme regelmäßig auf Infostealer-Malware überprüft werden, um einer weiteren Kompromittierung vorzubeugen.

Nein, die Passwörter von Facebook, Google und Apple sind nicht durchgesickert. Oder doch?

Mit einem Datensatz, der 16 Milliarden Passwörter enthält, entspricht dies zwei durchgesickerten Konten pro Person auf der Erde.

Wir wissen nicht genau, wie viele doppelte Datensätze es gibt, da die Daten aus mehreren Datensätzen stammen. Einige Berichte anderer Medien können jedoch recht irreführend sein. Einige behaupten, dass die Zugangsdaten von Facebook, Google und Apple gestohlen wurden. Wir können diese Behauptungen zwar nicht vollständig widerlegen, halten sie jedoch für etwas ungenau.

Bob Diachenko, Mitwirkender bei Cybernews, Cybersicherheitsforscher und Eigentümer von SecurityDiscovery.com, steht hinter dieser jüngsten bedeutenden Entdeckung.

„Es gab keinen zentralen Datenverstoß bei einem dieser Unternehmen“, sagte Diachenko, als ich ihn bat, zu klären, ob tatsächlich Datensätze von Facebook, Google oder Apple stammen.

Das bedeutet jedoch nicht, dass keine der Anmeldedaten gehackt und im Dark Web veröffentlicht wurden.

„Die Anmeldedaten, die wir in den Infostealer-Protokollen gesehen haben, enthielten Login-URLs zu Apple-, Facebook- und Google-Anmeldeseiten“, sagte Diachenko.

Wie oben erwähnt, bedeutet dies, dass die geleakten Informationen die Türen zu so ziemlich jedem erdenklichen Online-Dienst öffnen.

Auf vielfachen Wunsch veröffentlichen wir einige Screenshots als Beweis dafür, dass solche Datensätze existieren. Unten sehen Sie, dass sie tatsächlich URLs zu Facebook, Google, Github, Zoom, Twitch und anderen Login-Seiten enthalten.

16 Milliarden gestohlene Datensätze: Wandel in der Cyberkriminalität

Sicherheitsforscher Aras Nazarovas von Cybernews sieht in einem massiven Datenleck mit 16 Milliarden gestohlenen Datensätzen ein mögliches Umdenken in der Untergrundszene. Cyberkriminelle setzen demnach zunehmend auf zentralisierte Datenbanken statt auf bisher übliche Kanäle wie Telegram-Gruppen.

„Die Verlagerung hin zu offenen, gut strukturierten Datenbanken könnte ein Hinweis sein, dass Telegram an Bedeutung verliert“, so Nazarovas. Er arbeitet regelmäßig mit öffentlich zugänglichen Daten und hilft, diese vor Missbrauch zu sichern.

Einige der geleakten Daten enthalten Cookies und Sitzungstoken – gefährlich, da sie Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung (2FA) umgehen können. Nicht alle Dienste setzen diese Cookies nach Passwortänderungen zurück.

Nazarovas rät Nutzern: Passwörter ändern, 2FA aktivieren, Kontobewegungen überwachen und bei verdächtigen Aktivitäten sofort den Support kontaktieren.

Update am 22.06.2025 / 10:36 Uhr: 

Kommentar von heise Security zur obigen Meldung.

Update am 25.06.2025 / 11:50 Uhr

„16 Milliarden Passwörter gestohlen?“ – Experten zweifeln an Bericht über angeblichen Mega-Datenklau

---