E-Mail-Konten, Social-Media-Profile, Streamingdienste, Online-Shops – und sogar Zugangsdaten von Regierungsbehörden: Ein massives Datenleck erschüttert aktuell die digitale Sicherheit weltweit.
Der Cybersicherheitsexperte Jeremiah Fowler hat rund 150 Millionen gestohlene Log-ins und Passwörter entdeckt – frei zugänglich auf einem öffentlichen, ungeschützten Server.
Wie die Schweizer Zeitung „20 Minuten“ berichtet, waren die sensiblen Daten weder verschlüsselt noch mit einem Passwort gesichert. Theoretisch hätte jeder darauf zugreifen können.
Millionen E-Mail-Konten betroffen!
Besonders brisant: Unter den betroffenen Diensten finden sich zahlreiche der weltweit größten E-Mail-Anbieter. Laut Fowler umfassen die Datensätze unter anderem:
- Gmail: rund 48 Millionen Konten
- Yahoo: ca. 4 Millionen
- Outlook: etwa 1,5 Millionen
- iCloud: rund 900.000
In Tausenden Dateien fanden sich Kombinationen aus E-Mail-Adressen, Benutzernamen, Passwörtern sowie direkte URL-Links zu Login- oder Autorisierungsseiten.
Einmal tippen statt tippen müssen – Passkeys sollen Passwörter ersetzen.
Auch große Unternehmen betroffen – aber nicht gehackt
Neben Maildiensten tauchen auch Log-ins zu bekannten Unternehmen und Plattformen auf, darunter Zalando, Ricardo, Parship, Bluewin und MediaMarkt. Fowler stellt jedoch klar: „Es handelt sich um kompromittierte Nutzerkonten, nicht um die Systeme der Unternehmen selbst.“
Die Daten stammen demnach aus früheren Hackerangriffen, Phishing-Kampagnen oder Schadsoftware, die Zugangsdaten direkt von infizierten Geräten abgreift.
Facebook, Netflix, OnlyFans – alles dabei
Auch zahlreiche Social-Media- und Entertainment-Plattformen sind betroffen:
- Facebook: 17 Millionen
- Instagram: 6,5 Millionen
- Netflix: 3,4 Millionen
- OnlyFans: rund 100.000
Zusätzlich fanden sich Log-ins zu HBO Max, Disney+, Roblox, aber auch zu Finanzdienstleistern, Krypto-Wallets, Trading-Plattformen sowie Bank- und Kreditkarten-Zugängen.
Hochbrisant: Regierungs-Log-ins im Datensatz
Besonders alarmierend ist laut Fowler ein weiterer Fund:
„Besonders besorgniserregend war das Vorhandensein von Anmeldedaten, die mit .gov-Domains aus verschiedenen Ländern verknüpft sind.“
Nicht jedes dieser Konten gewähre Zugriff auf hochsensible Systeme – doch selbst eingeschränkte Zugänge könnten, abhängig von Rolle und Berechtigungen, schwerwiegende Sicherheitsfolgen haben.
Gefahr durch Schadsoftware bleibt enorm
Für Fowler ist der Fund kein Einzelfall, sondern Symptom eines globalen Problems. Schadsoftware, die Passwörter stiehlt, sei weiterhin weit verbreitet. Die erbeuteten Daten würden oft gesammelt und auf Cloud-Servern gespeichert – teils schlampig gesichert.
Ironisch: Selbst Cyberkriminelle sind offenbar nicht vor Datenlecks sicher. Weil der Server öffentlich erreichbar war, hätten theoretisch Millionen Zugänge missbraucht werden können.
Der Fall zeigt einmal mehr, wie wichtig starke Passwörter, Zwei-Faktor-Authentifizierung und regelmäßige Sicherheitschecks sind – für Privatpersonen ebenso wie für Behörden.
