Fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter sind in einem großen Credential-Leak öffentlich zugänglich - das sollten Sie jetzt unbedingt wissen - und notfalls dagegen vorgehen.
Der bisher größte geklaute Datensatz, der je entdeckt wurde: 2 Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter sind jetzt öffentlich zugänglich geworden. Ein Sicherheits-Experte hat die Listen ausgeforscht. Alle wichtigen Informationen, die sie jetzt brauchen:
- Riesen-Panne im Louvre geleakt: Sicherheitspasswort lautete "LOUVRE"
- TV-Kommissar selbst Opfer von Betrügern
- Datenleck: Hacker erbeuten Kundendaten von Mode-Riesen
Art des Leaks erklärt
Die Daten stammen nicht aus einem einzelnen Hack eines großen Anbieters, sondern aus einer Sammlung von Zugangsdaten, die auf der Threat-Intelligence-Plattform Synthient zusammengeführt wurden. Es handelt sich um ein typisches Credential-Stuffing-Leak: Kriminelle nutzen gebündelte Zugangsdaten aus vielen früheren Leaks, um automatisiert Konten zu übernehmen.
Ergebnisse und Risiko
Stichproben von HIBP-Nutzern zeigten: Viele Passwörter werden weiter aktiv verwendet, manche sind über zehn Jahre alt. Fühlen Sie sich zufällig auch angesprochen? Da sind Sie nicht allein! Ein Betroffener bestätigte, dass ein aktuell genutztes Passwort in den Listen auftauchte und änderte daraufhin kritische Zugangsdaten. Die Daten enthalten zwar 394 Millionen Gmail-Adressen, stammen aber aus 32 Millionen Domains — über 80 Prozent der Einträge haben nichts mit Gmail zu tun.
Was Sie jetzt tun sollten
- Prüfen Sie Ihre E-Mail-Adresse bei "Have I Been Pwned", ob Ihre Daten betroffen sind.
- Nutzen Sie einen Passwort-Manager, um starke, einzigartige Passwörter zu erstellen.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung für wichtige Konten.
- Ändern Sie sofort alle Passwörter, die in den Listen gefunden wurden — auch ältere Passwörter.
Herkunft und Nutzung der Daten
Sicherheitsforscher Troy Hunt betont, dass es sich nicht um einen gezielten Hack großer Anbieter handelt. Vielmehr wurden Zugangsdaten über Jahre hinweg aus vielen Quellen zusammengetragen und von Cyberkriminellen für automatisierte Angriffe verwendet. Die Listen dienen als Grundlage für Credential-Stuffing-Angriffe, weil viele Nutzer Passwörter mehrfach verwenden.
