Raaga-Datenleck: 10 Millionen Musikfans von unsicheren Passwörtern betroffen

Ein massiver Datendiebstahl beim indischen Musikdienst Raaga gefährdet Millionen Nutzer. Das Datenleck offenbart gravierende Sicherheitsmängel.

Mehr als 10 Millionen Nutzer des indischen Musikstreaming-Dienstes Raaga sind von einem massiven Datenleck betroffen. Das bestätigen Sicherheitsforscher nach der Indizierung des Vorfalls durch den Dienst Have I Been Pwned. Besonders alarmierend: Die Plattform speicherte Passwörter mit einer völlig veralteten und unsicheren Methode – ein eklatanter Sicherheitsfehler in der heutigen Zeit.

Was genau gestohlen wurde

Das kompromittierte Datenpaket enthält eine Fülle sensibler Informationen. Sicherheitsanalysten bestätigen den Diebstahl von 10,2 Millionen eindeutigen E-Mail-Adressen, Benutzernamen, Geschlechtsangaben und geografischen Daten wie Postleitzahlen. In vielen Fällen sind sogar die vollständigen Geburtsdaten der Nutzer enthalten. Diese statischen Datenpunkte sind für Identitätsdiebe besonders wertvoll, da sie häufig zu Sicherheitsabfragen anderer Dienste gehören.

Viele Unternehmen und Nutzer sind auf solche großflächigen Leaks nicht vorbereitet. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt, warum Passwort‑Leaks wie dieses Credential‑Stuffing‑Angriffe ermöglichen und welche sofort umsetzbaren Schutzmaßnahmen helfen — von Passwort-Managern über Zwei‑Faktor‑Authentifizierung bis zu Schulungs‑Checklisten für Mitarbeitende. Praxisnahe Schritte für IT‑Verantwortliche und Privatanwender, die schnell die wichtigsten Lücken schließen wollen. Jetzt kostenlosen Cybersecurity-Guide herunterladen

Der Angriff erfolgte nach Erkenntnissen der Forscher bereits im Dezember 2025. Die gestohlenen Daten tauchten zunächst in Untergrundforen zum Verkauf auf, bevor sie diese Woche in der Sicherheitscommunity breiter zirkulierten. Betroffen ist vor allem die Nutzerbasis in Indien und der globalen südasiatischen Diaspora.

Das Kernproblem: “Unsalted MD5”

Der gravierendste Aspekt des Lecks ist die Art der Passwortspeicherung. Raaga nutzte “unsalted MD5-Hashes” – eine kryptografische Methode, die seit über einem Jahrzehnt als gebrochen gilt. MD5 ist anfällig für extrem schnelles Knacken. Moderne Hardware kann Milliarden von MD5-Hashes pro Sekunde berechnen.

Noch kritischer: Das fehlende “Salzen” der Hashes. Dabei wird jedem Passwort vor der Verschlüsselung ein Zufallswert hinzugefügt. Diese Standardpraxis verhindert, dass Angreifer vorgefertigte Tabellen zum Massenknacken von Passwörtern nutzen können. Raaga hat diese grundlegende Sicherheitsmaßnahme unterlassen. In der Branche sind längst robuste Algorithmen wie bcrypt oder Argon2 Standard, die speziell für Widerstandsfähigkeit gegen Brute-Force-Angriffe entwickelt wurden.

Die Nutzung von unsalicherem MD5 im Jahr 2025/26 stellt einen eklatanten Verstoß gegen jegliche Sicherheitsstandards dar. Ein solcher Fehler wäre bei europäischen oder deutschen Digitalunternehmen kaum denkbar.

Akute Gefahren für betroffene Nutzer

Die 10,2 Millionen gestohlenen E-Mail-Passwort-Kombinationen bergen zwei unmittelbare Risiken:

1. Credential Stuffing: Automatisierte Bots testen die gestohlenen Kombinationen bei anderen Diensten – von Online-Banking über Soziale Medien bis zu E-Mail-Anbietern. Viele Nutzer verwenden dasselbe Passwort mehrfach, was diesen Angriff besonders gefährlich macht.

2. Gezieltes Phishing: Mit Namen, Alter, Wohnort und Musikvorlieben können Betrüger täuschend echte E-Mails erstellen. Diese fordern Nutzer etwa unter dem Vorwand einer “Sicherheitsüberprüfung” zur Eingabe weiterer Daten oder zum Klicken auf schädliche Links auf.

Branchenreaktion und regulatorische Folgen

Das Datenleck fällt in eine Zeit verschärfter Datenschutzaufsicht im Digitalsektor. Raaga hat noch keine detaillierte technische Analyse des Vorfalls vorgelegt. Der Fall zeigt jedoch die Herausforderungen regionaler Streaming-Dienste mit veralteter Infrastruktur.

Sicherheitsexperten sehen darin eine Warnung für alle Digitalanbieter. Veralteter Code und überholte Sicherheitspraktiken bleiben ein “tickendes Zeitbombe” für Unternehmen, die in der Streaming-Hochphase schnell gewachsen sind, ihre Sicherheitsarchitektur aber nicht modernisierten.

Regulierungsbehörden in den betroffenen Jurisdiktionen werden den Verstoß gegen Passwort-Speicherstandards voraussichtlich untersuchen. Unter modernen Datenschutzregelungen wie der DSGVO können solche Nachlässigkeiten zu erheblichen Geldstrafen und verpflichtenden Compliance-Prüfungen führen.

Was betroffene Nutzer jetzt tun müssen

Die kompromittierten Daten zirkulieren bereits. Die Zeit zum Schutz der Konten wird knapp. Experten raten allen Raaga-Nutzern, von einer Kompromittierung ihrer Passwörter auszugehen.

Dringende Handlungsempfehlungen:

• Passwörter sofort ändern: Das Raaga-Passwort muss umgehend geändert werden. Kritisch ist, auch bei allen anderen Diensten das Passwort zu wechseln, wo dieselbe oder eine ähnliche Kombination genutzt wurde.
• Zwei-Faktor-Authentifizierung aktivieren: 2FA bietet eine zusätzliche Sicherheitsebene, die selbst bei gestohlenem Passwort wirkt.
• Passwort-Manager nutzen: Um das Risiko von Passwort-Wiederverwendung zu vermeiden, empfehlen Experten die Nutzung eines Passwort-Managers für einzigartige, komplexe Zugangsdaten bei jedem Dienst.
• Phishing-Versuche erkennen: Seien Sie skeptisch bei unerbetenen Nachrichten, die angeblich von Raaga stammen – besonders bei solchen, die zu dringenden Handlungen oder zur Preisgabe persönlicher Daten auffordern.

Die Sicherheitscommunity erwartet in den kommenden Wochen weitere Details zur konkreten Schwachstelle, die den initialen Einbruch ermöglichte. Der Fokus liegt jetzt auf der Schadensbegrenzung und der Eindämmung der Folgen dieses schwerwiegenden Sicherheitsversagens.

Übrigens: Neben technischen Maßnahmen hilft ein klarer Anti‑Phishing‑Plan, um gezielte E‑Mails zu erkennen. Der gleiche Gratis‑Guide enthält ein Kapitel mit einem 4‑Schritte‑Plan zur Abwehr von Phishing, Vorlagen für interne Warnungen und eine Checkliste, wie Sie Passwörter, 2FA und Passwort‑Manager systematisch einführen. Unverzichtbar für Nutzende und Verantwortliche nach einem Leak dieser Größenordnung. Gratis Anti‑Phishing- und Sicherheits-Check herunterladen