Datenleck: 150 Millionen Zugangsdaten ungeschützt im Netz

Ein ungeschützter Server machte rund 150 Millionen gestohlene Login-Daten für Google, Facebook und andere globale Dienste öffentlich zugänglich. Der Fund unterstreicht die massive Bedrohung durch Identitätsdiebstahl.

Entdeckt wurde die Datenbank vom Sicherheitsexperten Jeremiah Fowler. Sie enthielt etwa 149,4 Millionen Datensätze mit E-Mail-Adressen, Benutzernamen und Passwörtern im Klartext – teils sogar mit direkten Links zu den Login-Seiten. Der Server war weder verschlüsselt noch passwortgeschützt, was einen einfachen Zugriff für Kriminelle bedeutete.

Globale Tech-Giganten massiv betroffen

Das Ausmaß des Lecks ist enorm. Besonders stark trifft es Google: Rund 48 Millionen kompromittierte Gmail-Konten fanden sich in der Sammlung. Auch soziale Netzwerke und Streaming-Dienste sind massiv betroffen: 17 Millionen Zugangsdaten für Facebook, 6,5 Millionen für Instagram und 3,4 Millionen für Netflix.

Weitere betroffene Dienste sind Yahoo (ca. 4 Millionen), Microsoft Outlook (1,5 Millionen) und Apple iCloud (rund 900.000). Sogar Logins für die Plattform OnlyFans waren Teil des Datensatzes. Die Präsenz von 1,4 Millionen .edu-E-Mail-Adressen zeigt, dass auch der Bildungssektor betroffen ist.

Der Fund macht deutlich, wie leicht gestohlene Zugangsdaten missbraucht werden können – nicht nur für Credential Stuffing, sondern auch für Phishing-Angriffe und CEO-Fraud. Das kostenlose Anti-Phishing-Paket bietet eine praxisnahe 4‑Schritte-Anleitung: Wie Sie betrügerische Mails erkennen, gefälschte Login‑Seiten enttarnen, Konten technisch härten und im Ernstfall richtig reagieren. Mit konkreten Prüflisten und Sofort‑Maßnahmen für Privatnutzer und Unternehmen. Jetzt Anti-Phishing-Paket herunterladen

Schweizer Nutzer besonders im Fokus

Die Herkunft der Datenmenge ist noch unklar. Experten gehen davon aus, dass es sich um eine Aggregation aus früheren Datenlecks oder durch sogenannte Infostealer-Malware gesammelter Informationen handelt. Diese Schadsoftware stiehlt Login-Daten direkt von infizierten Computern.

Eine regionale Analyse zeigt: Besonders stark betroffen sind Nutzer in der Schweiz. In der Datenbank fanden sich viele Datensätze mit der Länderkennung .ch, darunter Zugangsdaten für populäre Schweizer Dienste wie Zalando, Ricardo, Bluewin, MediaMarkt und Ticketcorner. Auch eine veraltete URL zum E-Banking einer Schweizer Bank wurde identifiziert. Das Institut gab Entwarnung, da aktive Konten durch moderne Sicherheitsverfahren wie Multi-Faktor-Authentifizierung geschützt seien. Das genaue Ausmaß für deutsche Nutzer ist noch unklar.

Gefahr durch “Credential Stuffing” wächst

Der Vorfall ist ein Paradebeispiel für die wachsende Bedrohung durch Credential Stuffing. Dabei verwenden Angreifer gestohlene Login-Daten, um sich bei anderen Diensten anzumelden. Da viele Nutzer Passwörter mehrfach verwenden, sind solche Angriffe oft erfolgreich. Die Konsequenzen können Identitätsdiebstahl, Betrug oder der Zugriff auf weitere persönliche Daten sein.

Für Unternehmen ist der Fund eine deutliche Warnung: Die Einhaltung von Datenschutzbestimmungen und der Aufbau robuster Sicherheitsarchitekturen sind überlebenswichtig. Datenpannen führen nicht nur zu Reputationsschäden, sondern auch zu hohen finanziellen Strafen.

Was Nutzer jetzt tun sollten

Sicherheitsexperten raten zu sofortigen Schutzmaßnahmen. Nutzer sollten prüfen, ob ihre Konten betroffen sind – etwa mit dem “Identity Leak Checker” des Hasso-Plattner-Instituts oder der Plattform “Have I Been Pwned?”.

Die wichtigsten Schritte:
1. Passwörter ändern: Für alle wichtigen Konten umgehend einzigartige, komplexe Passwörter vergeben.
2. Zwei-Faktor-Authentifizierung (2FA) aktivieren: Diese zusätzliche Sicherheitsebene macht Konten deutlich widerstandsfähiger gegen Missbrauch.

Der aktuelle Fund ist eine dringende Mahnung, die eigene digitale Sicherheit nicht zu vernachlässigen. Schwache oder mehrfach verwendete Passwörter bieten keinen ausreichenden Schutz.

PS: Sie möchten Ihre Konten direkt absichern? Der Gratis-Guide erklärt klare, sofort umsetzbare Maßnahmen – von starken, einzigartigen Passwörtern und Zwei‑Faktor‑Authentifizierung bis zur Erkennung gefälschter Login‑Seiten und unsicherer E‑Mails. Ideal für Privatnutzer und kleine Unternehmen, die ihre Konten schnell schützen wollen. Anti-Phishing-Guide jetzt kostenlos anfordern