150 Millionen Zugangsdaten durch Schadsoftware gestohlen

Ein ungeschützter Datenpool mit fast 150 Millionen Nutzerkonten wurde im Januar entdeckt. Die Zugangsdaten stammen nicht aus einem einzelnen Hackerangriff, sondern wurden über Jahre von Infostealer-Malware gesammelt – und die Sammlung wächst weiter.

In einer der größten Datenschutzpannen des Jahres haben Cybersicherheitsforscher Ende Januar 2026 eine massive, ungesicherte Datenbank aufgespürt. Sie enthält fast 150 Millionen einzigartige Nutzerzugänge. Der Fund des Sicherheitsforschers Jeremiah Fowler zeigt ein schwerwiegendes, fortlaufendes Risiko für die digitale Sicherheit von Millionen Nutzern weltweit. Die sensiblen Daten, gesammelt aus verschiedenen prominenten Onlinediensten, sind nicht das Ergebnis eines einzelnen Hacks. Vielmehr handelt es sich um eine riesige Sammlung, die über Jahre von Schadsoftware zusammengetragen wurde. Experten wie die Führung von Keeper Security warnen: Solche Kompromittierungen von Zugangsdaten sind zu einer dauerhaften Bedrohung im digitalen Ökosystem geworden.

Das erschreckende Ausmaß des Datenlecks

Das Volumen der offengelegten Daten ist gewaltig. Die Datenbank umfasst 149.404.754 eindeutige Login-Datensätze – das entspricht 96 Gigabyte Rohdaten. Darin enthalten sind Benutzernamen, E-Mail-Adressen und Passwörter für eine breite Palette beliebter Plattformen. Eine Analyse offenbart das erschreckende Ausmaß: Geschätzt 48 Millionen Gmail-Konten, 17 Millionen Facebook-Konten und 6,5 Millionen Instagram-Konten sind betroffen.

Massive Datenlecks und automatisierte Credential‑Stuffing-Angriffe zeigen: Viele Unternehmen und Nutzer sind schlecht vorbereitet. Das kostenlose Anti-Phishing‑Paket liefert eine praxisnahe 4‑Schritte-Anleitung zur Abwehr von Phishing, CEO‑Fraud und automatisierten Bots – inklusive der psychologischen Angriffsmuster, die Kriminelle nutzen, und konkreten Checklisten. Enthalten sind sofort anwendbare Vorlagen für Awareness‑Trainings, Hinweise zur Erkennung kompromittierter Zugangsdaten und technische Sofortmaßnahmen zum Schutz von E‑Mail- und Finanzkonten. Anti-Phishing-Paket jetzt kostenlos herunterladen

Weitere große Dienste sind ebenfalls kompromittiert: etwa 4 Millionen Yahoo-Konten, 3,4 Millionen Netflix-Zugänge und 780.000 TikTok-Accounts. Über Verbraucherdienste hinaus fanden sich auch sensible Logins für Finanzplattformen, darunter mindestens 420.000 Konten bei der Kryptobörse Binance. Besonders alarmierend: Forscher identifizierten auch Zugangsdaten, die mit Regierungsdomänen verschiedener Länder verknüpft sind. Diese könnten für gezielte Phishing-Angriffe oder als Einstiegspunkt in Regierungsnetzwerke genutzt werden.

Die anhaltende Gefahr durch Infostealer-Malware

Untersuchungen zum Ursprung der Daten zeigen: Sie wurden nicht von den Servern der betroffenen Unternehmen wie Google oder Facebook gestohlen. Stattdessen sammelte Infostealer-Malware die Zugangsdaten über einen langen Zeitraum systematisch ein. Diese Schadsoftware infiziert die Computer und Geräte einzelner Nutzer, zeichnet Tastatureingaben auf und erntet Login-Daten im Moment der Eingabe. Die gestohlenen Informationen werden dann an einen zentralen Server gesendet und in großen Datenbanken wie der entdeckten zusammengeführt.

Ein besonders besorgniserregender Aspekt: Die Datenbank wuchs während der einmonatigen Untersuchungsphase, die bis zu ihrer Abschaltung nötig war, weiter aktiv. Das deutet darauf hin, dass die für die Sammlung verantwortliche Infostealer-Kampagne noch immer aktiv ist und fortlaufend neue Zugangsdaten von neu infizierten Opfern sammelt. Die Offenlegung der Datenbank selbst scheint ein Fehler der Kriminellen gewesen zu sein, die ihre Sammlung gestohlener Daten unbeabsichtigt ungeschützt im Internet liegen ließen.

Die akute Gefahr: Credential Stuffing und Betrug

Die Verfügbarkeit eines so großen und vielfältigen Datensatzes an Zugangsdaten stellt ein erhebliches, unmittelbares Risiko für die Öffentlichkeit dar. Cyberkriminelle haben diese Daten mit hoher Wahrscheinlichkeit bereits abgerufen. Sie werden sie für weit verbreitete, automatisierte Angriffe nutzen, die als „Credential Stuffing“ bekannt sind. Dabei probieren Bots die geleakten Kombinationen aus Benutzername und Passwort systematisch auf Hunderten anderer beliebter Websites aus. Da ein signifikanter Teil der Nutzer Passwörter über mehrere Dienste hinweg wiederverwendet, sind diese Angriffe oft erfolgreich. Kriminelle können so Konten übernehmen, persönliche Daten stehlen und finanziellen Betrug begehen.

Das Risiko geht über Kontenübernahmen hinaus. Mit Zugriff auf E-Mail- und Social-Media-Konten können Angreifer überzeugendere und gezieltere Phishing-Kampagnen starten, persönliche Daten für Identitätsdiebstahl nutzen oder Zugang zu noch sensibleren Informationen erlangen. Die Tatsache, dass in der Datenbank auch die Login-URLs neben den Zugangsdaten gespeichert waren, macht es den Kriminellen besonders leicht, die richtigen Websites für ihre Angriffe anzuvisieren.

Analyse: Eine neue Realität digitaler Bedrohungen

Branchenexperten sehen in diesem massiven Datenleck einen grundlegenden Wandel der Bedrohungslage. Shane Barney, Chief Information Security Officer bei Keeper Security, wies in einem Medienbericht darauf hin, dass dieser 149-Millionen-Datensatz das Nebenprodukt eines Ökosystems sei, das kontinuierlich Zugangsdaten von Nutzergeräten erntet. Seine Analyse zeigt: Groß angelegte Kompromittierungen von Zugangsdaten sind keine Reihe isolierter Sicherheitsvorfälle mehr. Sie sind zu einem konstanten Hintergrundrauschen des Online-Seins geworden.

Diese Perspektive betrachtet den Vorfall nicht als singuläres Versagen, sondern als Beleg für ein industrialisiertes, fortlaufendes kriminelles Unterfangen. Die geringen Kosten für „Infostealer-as-a-Service“-Plattformen ermöglichen es sogar wenig versierten Kriminellen, Zugang zu dieser bösartigen Infrastruktur für wenige hundert Dollar im Monat zu mieten. Das garantiert, dass das Problem bestehen bleibt. Diese kontinuierliche Datenernte bedeutet: Selbst wenn diese spezifische Datenbank offline ist, zirkulieren die darin enthaltenen Zugangsdaten mit hoher Wahrscheinlichkeit bereits in kriminellen Netzwerken. Und es werden ständig neue Daten gesammelt.

Schutzmaßnahmen für Nutzer

Angesichts dieser anhaltenden Bedrohung drängen Cybersicherheitsexperten die Öffentlichkeit zu robusteren Sicherheitspraktiken. Die primäre Verteidigung gegen Credential-Stuffing-Angriffe ist die Verwendung eines einzigartigen und starken Passworts für jedes Online-Konto. Da es für die meisten Menschen nicht praktikabel ist, Dutzende komplexer Passwörter zu merken, wird die Nutzung eines seriösen Passwort-Managers dringend empfohlen.

Darüber hinaus bietet die Aktivierung von Zwei-Faktor- oder Multi-Faktor-Authentifizierung (MFA), wo immer möglich, eine entscheidende zusätzliche Sicherheitsebene. MFA erfordert eine zweite Verifizierungsform, wie einen Code aus einer Mobilfunk-App. Dies verhindert unbefugten Zugriff selbst dann, wenn ein Angreifer das korrekte Passwort besitzt. Nutzern wird auch geraten, wachsam gegenüber Phishing-E-Mails zu sein und Dienste wie „Have I Been Pwned“ zu prüfen, um zu sehen, ob ihre E-Mail-Adressen in dieses oder frühere Datenlecks verwickelt waren. Dieser Vorfall ist eine deutliche Erinnerung: In der aktuellen digitalen Umgebung ist proaktive Verteidigung unerlässlich, um die eigenen persönlichen und finanziellen Informationen zu schützen.

PS: Wenn Ihre Login‑Daten bereits in Leaks landen, ist schnelles Handeln entscheidend. Das Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Phishing‑Mails sicher erkennen, automatisierte Angriffe stoppen und Konten absichern – plus eine sofort anwendbare Checkliste und Vorlagen für Awareness‑Maßnahmen. Ideal für Einzelpersonen und Unternehmen, die Zugangsdaten effektiv schützen wollen. Jetzt Anti-Phishing-Paket anfordern