Ich stelle noch eine Information hier im Blog ein, die bereits am 23. Januar 2026 initial bekannt wurde. Bei seinen Recherchen ist Sicherheitsexperte Jeremias Fowler auf eine ungesicherte Datenbank auf einem per Internet erreichbaren Server gestoßen, die 149 Millionen Passwörter von E-Mail-Diensten enthielt.
Mir ist die Information über diverse Quellen wie den nachfolgenden Tweet die Tage untergekommen. Der Tweet verlinkt auf den Wired-Artikel 49 Million Usernames and Passwords Exposed by Unsecured Database vom 23. Januar 2026 – die Schweizer-Seite 20 Minuten hat das Ganze in diesem Beitrag offen gelegt.
Aufgedeckt hat die der Sicherheitsexperte Jeremiah Fowler, der die Details auf seiner Webseite ExpressVPN im Beitrag 149M Logins and Passwords Exposed Online Including Financial Accounts, Instagram, Facebook, Roblox, Dating Sites, and More offen legt.
Insgesamt enthielt die ungesicherte Datenbank, auf die er auf einem öffentlich zugänglichen Server fand, 149.404.754 eindeutige Anmeldedaten und Passwörter mit einer Gesamtgröße von 96 GB an Rohdaten.
Zugangsdaten für viele Online-Dienste
Die offengelegten Datensätze enthielten laut Fowler Benutzernamen und Passwörter von Opfern aus aller Welt, für eine Vielzahl häufig genutzter Online-Dienste und nahezu alle erdenklichen Arten von Konten. Dazu gehörten Social-Media-Plattformen wie Facebook, Instagram, Tiktok und X (ehemals Twitter) sowie Dating-Websites oder -Apps und OnlyFans-Konten, die die Anmeldedaten sowohl von Erstellern als auch von Kunden enthielten.
Der Sicherheitsforscher fand auch eine große Anzahl von Streaming-Dienst-Konten für Netflix, HBOmax, DisneyPlus, Roblox und mehr. Auch Konten von Finanzdienstleistern, Krypto-Wallets oder Handelskonten, Bank- und Kreditkarten-Logins tauchten ebenfalls in der begrenzten Stichprobe der von Fowler überprüften Datensätze auf.
Genannt werden Zugangsdaten für Gmail ( 48 Millionen), Yahoo (4 Millionen), Outlook (1,5 Millionen), iCloud (900.000) sowie .edu-Adressen aus dem Bildungsbereich (1,4 Millionen). Fowler hat in seinem Beitrag eine umfangreiche Aufschlüsselung der Konten veröffentlicht.
Freifahrtschein für Kontenzugriff; Eigentümer unbekannt
In der begrenzten Stichprobe der offengelegten Dokumente fand der Sicherheitsforscher Tausende Einträge, die E-Mails, Benutzernamen, Passwörter und die URL-Links zur Anmeldung oder Autorisierung für die Konten enthielten. Geraten diese Daten in die Hände von Cyberkriminellen, ist dies quasi der Jackpot für den Zugriff auf die Konten.
Fowler schreibt, dass die Datenbank keine Informationen zum Eigentümer enthielt. Daher meldete der Sicherheitsexperte das Problem direkt über das Online-Formular zur Meldung von Missbrauch an den Hosting-Anbieter. Einige Tage später kam die Antwort, dass die IP-Adresse nicht von diesem Anbieter gehostet werde. Die Datenbank liege bei einer Tochtergesellschaft, die unabhängig unter dem Namen der Muttergesellschaft agiert.
Es dauerte fast einen Monat und mehrere Versuche, bis endlich Maßnahmen ergriffen wurden, bis die Datenbank offline genommen wurde und Millionen von gestohlenen Anmeldedaten nicht mehr zugänglich waren. Der Hosting-Anbieter gab keine weiteren Informationen darüber preis, wer die Datenbank verwaltete.
Fowler schreibt, dass nicht bekannt ist, ob die Datenbank für kriminelle Aktivitäten genutzt wurde oder ob diese Informationen für legitime Forschungszwecke gesammelt wurden oder wie und warum die Datenbank öffentlich zugänglich war. Es ist auch nicht bekannt, wie lange die Datenbank vor der Entdeckung öffentlich zugänglich war, und ob andere Personen Zugriff darauf hatten.
Beunruhigend sei die Tatsache, dass die Anzahl der Datensätze von dem Zeitpunkt, an dem Fowler die Datenbank entdeckte, bis zu dem Zeitpunkt, an dem sie gesperrt und nicht mehr verfügbar war, gestiegen ist. Das bedeutet, dass die Datenbank aktiv genutzt wird.
War die Datenbank von Cyberkriminellen?
Die Beschreibung Fowlers, dass der Hoster alles auf seine Tochtergesellschaft schiebt und keine Informationen über den Besitzer offen legt, lädt zu Spekulationen ein. Fowler schreibt, dass die nicht der erste Datensatz dieser Art gewesen sei, den er entdeckt habe. Und er ergänzt, dass dieser Fund die globale Bedrohung durch Malware zum Diebstahl von Zugangsdaten unterstreiche. Wenn Daten gesammelt, gestohlen oder erfasst werden, müssen sie irgendwo gespeichert werden. Ein cloudbasiertes Repository sei in der Regel die beste Lösung. Diese Entdeckung zeigt auch, dass selbst Cyberkriminelle nicht vor Datenverstößen gefeit sind.
Fowler rät: Jeder, der den Verdacht hat, dass sein Gerät mit Malware infiziert ist, sollte sofort Maßnahmen ergreifen. Auf einem Mobilgerät empfiehlt er, das Betriebssystem und die Sicherheitssoftware (falls installiert) zu aktualisieren. Wer keine Sicherheitssoftware hat, solle eine installieren und das Gerät scannen, um alles zu entfernen, was als bösartig identifiziert oder als verdächtig markiert wurde.
Hier sehe ich aber das Problem, dass die übliche Sicherheitssoftware für Android eher Schlangenöl gleicht und infizierte Apps nicht immer entfernen kann. Zudem ist der Ratschlag, das Betriebssystem zu aktualisieren, bei Android oft leichter gesagt als getan. Ältere Geräte erhalten oft keine Android-Updates vom Hersteller. Hier bleibt nur zu hoffen, dass die Google Play Services die Sicherheitslücken schließen, und Google Play Protect Apps aus dem Store, die Schadfunktionen aufweisen, löscht.
Ein Ansatz sollte zudem sein, zu prüfen, ob die für Online-Konten benutzten E-Mail-Adressen auf Plattformen wie Have I been pwned (HIBP) gelistet werden. Ein Problem ist in meinen Augen aber, dass HIBP oft unnötig Alarm auslöst, andererseits plötzlich Einträge verschwinden. Ich weiß beispielsweise, dass meine berufliche E-Mail-Adresse über einen LinkedIn-Hack (obwohl ich da nie anmeldet war, ich war sozusagen Beifang) geleakt und jahrelang auf HIBP gelistet war. Heute wird sie nicht mehr aufgeführt. Andere E-Mail-Adressen werden als "geleaked" gelistet – es gab aber noch nie Versuche, diese zu hacken.
In meinen Augen empfiehlt es sich, sofern unterstützt, auf 2FA-Authentifizierung auszuweichen, und auf Passwort-Manager zur Absicherung von Online-Konten zu setzen.
MVP: 2013 – 2016
HIBP ist nett aber zeigt nicht an, wo die E-Mail abhanden kam, oder?
Doch, das zeigt dir genau an aus welchem Leak die Daten kam. War auch nie anders.
Nö.
Da werden nur schwammige Infos genannt.
Beispielsweise:
"In January 2019, a large collection of credential stuffing lists (combinations of email addresses and passwords used to hijack accounts on other services) was discovered being distributed on a popular hacking forum. The data contained almost 2.7 billion records including 773 million unique email addresses alongside passwords those addresses had used on other breached services. "
Mit der Info kann man wenig anfangen.
Da steht "on a popular hacking forum. ".
Ja, welches hacking forum ist es denn?
Warum wird das nicht genannt?
Oder:
"…aggregated 2 billion unique email addresses disclosed in credential-stuffing lists found across multiple malicious internet sources. "
Genauso schwammig.
Ja, in welchen "internet sources" wurden die Addressen denn gefunden?
Genau diese Infos vermisse ich bei HIBP!
Wo genau zeigt es Dir das genaue Leak für eine bestimmte E-Mail Adresse an? Kannst Du einen Screenshot posten?
HIBP ist nett, hat aber sehr viele sehr alte Einträge drin.
Es sind da z.B. 2 meiner Adressen drin, die Einträge sind aber schon über 15 Jahre alt.
Das Passwort dieser beiden Adressen habe ich seit dem schon oft geändert.
Und bei HIBP vermisse ich die Info, wo die Daten abhanden kamen bzw. wo die gefunden wurden.
Wäre ja auch schlimm, wenn HIBP es mitbekäme, dass man sein Passwort ändert. Und wenn schon in der Hacker-Datenbank nicht genau stand, von welchem Shop die Daten abgegriffen wurden, kann es logischerweise auch nicht in HIBP vermerkt sein. – Das ist auch gut so, denn jeder kann dort ja auch fremde Mailadressen abfragen. Auf diese Weise könnte man dann checken, wo der Inhaber einer Mailadresse Kunde ist oder ob er auf irgendeiner Pornosite registriert war. Lieber nicht.
Keine Passkeys oder Passwordmanager, kein Mitleid.
Sorry, aber das ist 'n sehr eindimensionaler "Nerd"-Standpunkt, ähnlich dem inflationären Narrativspruch "Kein Backup, kein Mitleid!" und nutzt Unbedarften leider so gar nicht! 🤷♂️
Unbedarfte haben auch keinen Nutzen sondern den Schaden! ;-P
Solange sie draus lernen ja auch nicht umsonst…
Nö.
Kein 2FA kein Mitleid.
Auch wieder kein wirklich neuer Hack, sondern lediglich eine neu Sammlung aus alten Daten aus diversen Hacks zusammengeklaubt…
HIBP ist letztendlich wertlos, da da auch nur alles reingepackt wird was sich so findet ohne wirklich zu prüfen… stehe da bei jeder Prüfung drin, mit Daten die 20 Jahre alt sind und längst überholt. Für Hacker nur sinnvoll wenn sie ne Zeitmaschine hätten
;-P
Last doch einfach mal diese " kein Mitleid" Sprüche !
Ist ja echt schlimm geworden hier und nützt keinem.