149 Millionen Zugangsdaten in ungeschützter Datenbank entdeckt

Ein gigantischer Fund von fast 150 Millionen Login-Daten offenbart die anhaltende Gefahr durch Schadsoftware und schlechte Cybersicherheit.

In einer der schwerwiegendsten Datenexposuren des Jahres haben Cybersicherheitsforscher eine riesige, ungeschützte Datenbank mit fast 150 Millionen einzigartigen Zugangsdaten aufgespürt. Der Schatz sensibler Informationen, darunter Benutzernamen und Passwörter für eine Vielzahl von Online-Diensten, war öffentlich zugänglich – ohne Verschlüsselung oder Passwortschutz. Die Entdeckung um den 21. Januar 2026 unterstreicht die anhaltende Bedrohung durch passwortstehlende Schadsoftware und die weite Verbreitung kompromittierter persönlicher Daten.

Die Dimension des Datenlecks: Ein digitales Who-is-Who

Die schiere Breite der offengelegten Daten ist alarmierend und betrifft Nutzer nahezu jeder Art von Online-Plattform. Die Zugangsdaten erstrecken sich über E-Mail-Anbieter, soziale Netzwerke, Finanzinstitute, Streaming-Dienste und sogar behördliche Domains. Der Cybersicherheitsforscher Jeremiah Fowler, der das Leck entdeckte, fand Dateien, die nicht nur Benutzernamen und Passwörter enthielten, sondern auch direkte Links zu den Login-Seiten. Das schafft ein maßgeschneidertes Werkzeug für automatisierte Account-Übernahmen.

Phishing-E-Mails und manipulierte Links sind eine der Haupt-Eintrittspforten für Infostealer, die Login-Daten absaugen und Konten übernehmen. Ein kostenloses 4-Schritte-Anti-Phishing-Paket erklärt praxisnah, wie Sie betrügerische Mails erkennen, CEO-Fraud verhindern und technische Filter sowie klare Richtlinien einführen, damit Angreifer keine Chance haben. Ideal für IT-Verantwortliche und Entscheider, die Konten und Kundendaten schnell und effektiv schützen wollen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Eine Analyse des Datensatzes zeigt eine deutliche Konzentration auf große Online-Dienste. Besonders betroffen sind etwa 48 Millionen Gmail-Konten, 17 Millionen Facebook-Konten und 6,5 Millionen Instagram-Konten. Weitere prominente Dienste in dem Leck sind Yahoo (rund 4 Millionen Konten), Netflix (3,4 Millionen) und Microsofts Outlook (1,5 Millionen). Die Daten enthalten auch Logins für Finanz- und Kryptoplattformen wie Binance sowie Zugangsdaten für .edu- und Regierungs-E-Mail-Domains.

Die allgegenwärtige Gefahr durch Infostealer

Dieser Vorfall unterstreicht die wachsende und heimtückische Bedrohung durch Infostealer-Malware. Anstatt die gehärtete Sicherheitsperimeter eines Unternehmens zu durchbrechen, greift diese Methode den Endnutzer direkt an. Die Schadsoftware wird über Phishing-E-Mails, bösartige Downloads oder infizierte Software verbreitet und läuft oft unerkannt im Hintergrund, während sie Login-Daten absaugt. Die gesammelten Informationen werden dann gebündelt und gespeichert – in diesem Fall auf einem unsicheren Server.

Die Entdeckung zeigt ironischerweise auch, dass Cyberkriminelle selbst nicht vor Sicherheitslücken gefeit sind. Indem sie eine so massive Sammlung gestohlener Daten auf einer öffentlich zugänglichen Datenbank lagerten, haben die Betreiber dieses Schemas ihre Beute unbeabsichtigt der Welt preisgegeben. Nach der Entdeckung meldete Fowler den offenen Server dem Hosting-Provider. Die Sicherung der Daten erwies sich jedoch als schwierig und dauerte Berichten zufolge fast einen Monat und mehrere Nachfassversuche, bis der Zugang endlich gesperrt wurde.

Google bestätigte auf Nachfrage, dass die Offenlegung nicht das Ergebnis eines eigenen Sicherheitsvorfalls sei. Ein Unternehmenssprecher verwies darauf, dass es sich um eine Sammlung von Zugangsdaten handele, die über längere Zeit durch verschiedene Schadsoftware-Kampagnen gestohlen wurden. Google habe automatisierte Schutzmaßnahmen, die solche Aktivitäten kontinuierlich überwachen und Konten sperren sowie Passwort-Änderungen erzwingen, sobald kompromittierte Zugangsdaten erkannt werden.

Die Gefahr von Credential Stuffing

Das Hauptrisiko eines solchen Lecks sind Credential-Stuffing-Angriffe. Dabei werden automatisierte Werkzeuge eingesetzt, um gestohlene Benutzername-Passwort-Kombinationen systematisch auf Hunderten anderen Webseiten auszuprobieren. Da viele Nutzer dasselbe Passwort für mehrere Dienste verwenden, kann ein einzelner kompromittierter Zugang zur Übernahme zahlreicher Konten führen – von Social Media bis zum Online-Banking.

Die Verfügbarkeit direkter Login-URLs im Datensatz macht solche Angriffe noch einfacher und skalierbarer. Diese Offenlegung setzt Millionen Nutzer einem erhöhten Risiko von Identitätsdiebstahl, Finanzbetrug und unbefugtem Zugriff auf persönliche Informationen aus. Für Unternehmen bedeutet die Einbeziehung von Geschäfts- und .edu-Zugangsdaten, dass die Daten als Einstiegspunkt in Unternehmensnetzwerke dienen könnten, was zu schwerwiegenderen Unternehmenshacks führen kann.

Was Nutzer jetzt tun sollten

Auch wenn die Datenbank nun gesichert ist, sind die 149 Millionen Zugangsdaten „in freier Wildbahn“ und sollten als dauerhaft kompromittiert gelten. In der unmittelbaren Folge ist mit einer Welle von Account-Übernahmeversuchen im Netz zu rechnen, da böswillige Akteure die geleakten Daten nutzen.

Sicherheitsexperten raten allen Internetnutzern zu sofortigen Schutzmaßnahmen:
* Passwörter ändern: Ändern Sie die Passwörter für alle Konten, die betroffen sein könnten.
* Keine Wiederverwendung: Verwenden Sie niemals dasselbe Passwort für verschiedene Dienste.
* Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie diese wo immer möglich. Sie bietet eine entscheidende zweite Sicherheitsebene.
* Passwort-Manager nutzen: Ein seriöser Passwort-Manager hilft dabei, einzigartige, starke Passwörter für jedes Online-Konto zu generieren und zu speichern.
* Wachsam bleiben: Seien Sie besonders aufmerksam für gezielte Phishing-Angriffe, da Angreifer die geleakten E-Mail-Adressen für betrügerische Nachrichten nutzen könnten.

PS: Viele Datenlecks beginnen mit nur einer erfolgreichen Phishing-Nachricht. Der kostenlose Report fasst die wichtigsten Abwehrmaßnahmen zusammen – von Mitarbeiterschulungen über Passwort- und 2FA-Richtlinien bis zu technischen Schutzmechanismen – und liefert eine sofort nutzbare Checkliste, mit der Sie Credential-Stuffing deutlich erschweren. Holen Sie sich die Checkliste für Ihre IT-Strategie und reduzieren Sie das Risiko gestohlener Zugangsdaten. Jetzt Anti-Phishing-Paket anfordern