Sicherheitsforscher entdeckt 149 Millionen gestohlene Zugangsdaten

Ein ungeschützter Server im Internet gab den Blick auf eine gigantische Sammlung gestohlener Login-Daten frei. Sicherheitsforscher Jeremiah Fowler stieß auf die Datenbank mit rund 149 Millionen Zugangsdaten, darunter mutmaßlich 48 Millionen Gmail-Konten.

Die 96 Gigabyte große Sammlung war weder durch ein Passwort geschützt noch verschlüsselt. Jeder, der die Adresse kannte, konnte darauf zugreifen. Experten gehen davon aus, dass die Daten über einen längeren Zeitraum von infizierten Computern gestohlen und hier gesammelt wurden.

Neben den Millionen Gmail-Zugängen enthielt die Datenbank Anmeldeinformationen für eine Vielzahl weiterer Dienste. Die Analyse offenbarte das erschreckende Ausmaß:

• 17 Millionen Facebook-Profile
• 4 Millionen Yahoo-Konten
• 1,5 Millionen Microsoft-Outlook-Accounts
• 900.000 iCloud-Logins
• Zugänge zu Instagram, TikTok, Netflix und Disney+
• Logins für Finanzplattformen wie Binance
• Besonders brisant: Zugangsdaten für Regierungsportale (.gov) und 1,4 Millionen .edu-Adressen aus dem Bildungssektor

Die unsichtbare Gefahr: Info-Stealer-Malware

Der Vorfall ist kein klassischer Hackerangriff auf Google oder andere Konzerne. Stattdessen stammen die Daten aus unzähligen Einzelinfektionen mit sogenannter Info-Stealer-Malware.

Viele Datendiebstähle beginnen mit präzise gestalteten Phishing-Mails oder Schadsoftware, die Passwörter und gespeicherte Logins aus Browsern zieht. Untersuchungen zeigen, dass solche Datensammlungen häufig für Credential‑Stuffing und Kontenübernahmen genutzt werden. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie Phishing erkennen, sichere Einstellungen durchsetzen und kompromittierte Konten härten. Ideal für Privatnutzer wie für Unternehmen – mit praxisnahen Checklisten und konkreten Maßnahmen. Jetzt kostenloses Anti-Phishing-Paket herunterladen

Diese Schadsoftware schleicht sich unbemerkt auf die Geräte der Opfer. Sie durchsucht Browser und Programme nach gespeicherten Login-Daten und sendet sie an Server der Cyberkriminellen. Genau eine solche Sammlung wurde nun entdeckt – und sie war für fast einen Monat frei zugänglich.

Fowler beobachtete, dass die Datenbank in dieser Zeit sogar noch wuchs. Die Datensammlung lief also weiter. Erst nach mehreren Kontaktversuchen mit dem Hosting-Anbieter wurde der Server vom Netz genommen.

Die größte Gefahr: Credential Stuffing

Was macht Cyberkriminelle mit solchen Datenbergen? Die größte unmittelbare Bedrohung sind Credential-Stuffing-Angriffe.

Dabei probieren Angreifer automatisiert die gestohlenen Kombinationen aus E-Mail und Passwort bei Dutzenden anderen Online-Diensten aus. Da viele Nutzer Passwörter mehrfach verwenden, schlagen diese Angriffe oft an. Ein kompromittiertes E-Mail-Konto kann so zur Tür für Bankzugänge oder Social-Media-Profile werden.

Zudem ermöglichen die detaillierten Daten hochgradig personalisierte Phishing-E-Mails, die kaum noch von echten Nachrichten zu unterscheiden sind.

Was Nutzer jetzt tun müssen

Schnelles Handeln ist für alle Nutzer entscheidend – nicht nur für die direkt Betroffenen. Cybersicherheitsexperten raten zu diesen Schritten:

• Passwörter sofort ändern: Beginnen Sie mit Ihrem primären E-Mail-Konto, das oft der Schlüssel für alle anderen Dienste ist.
• Einzigartige Passwörter verwenden: Nutzen Sie für jeden Dienst ein anderes, starkes Passwort. Ein Passwort-Manager kann dabei helfen.
• Zwei-Faktor-Authentifizierung aktivieren: Die 2FA ist die wichtigste zusätzliche Sicherheitsebene. Sie schützt auch dann, wenn Ihr Passwort bekannt ist.
• Wachsam bleiben: Seien Sie in den kommenden Wochen besonders misstrauisch gegenüber unerwarteten E-Mails oder Login-Aufforderungen.

Der Fund zeigt: Die Gefahr durch Info-Stealer-Malware ist real und allgegenwärtig. Proaktive Sicherheitsmaßnahmen sind kein Luxus, sondern notwendig.

PS: Wenn Ihre Zugangsdaten bereits in falsche Hände geraten sind, helfen kurzfristig Passwortwechsel und Zwei‑Faktor‑Authentifizierung – doch effektiver ist eine strukturierte Abwehr. Das Anti‑Phishing‑Paket bietet Vorlagen für sichere E‑Mail‑Einstellungen, Erkennungsregeln für CEO‑Fraud und eine Schritt‑für‑Schritt‑Checkliste, mit der Sie Phishing‑Versuche schnell identifizieren und blockieren. Holen Sie sich den Gratis‑Guide, um Ihre Konten jetzt gezielt zu schützen. Gratis Anti-Phishing-Paket jetzt anfordern