{"id":318342,"date":"2025-11-19T00:05:36","date_gmt":"2025-11-18T23:05:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318342"},"modified":"2025-11-19T07:53:20","modified_gmt":"2025-11-19T06:53:20","slug":"angebliche-groesstes-datenleck-der-geschichte-mit-2-milliarden-e-mail-adressen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/11\/19\/angebliche-groesstes-datenleck-der-geschichte-mit-2-milliarden-e-mail-adressen\/","title":{"rendered":"Background: Angebliche gr\u00f6\u00dftes Datenleck der Geschichte mit 2 Milliarden E-Mail-Adressen"},"content":{"rendered":"

\"Mail\"Vor einigen Tagen ging ja die Meldung \u00fcber ein riesiges Datenleck (das gr\u00f6\u00dfte der Geschichte) mit 2 Milliarden E-Mail-Adressen durch die Medien. Nachdem ich von Lesern angesprochen wurde, eine kurze Einordnung des Sachverhalts. Erg\u00e4nzung:<\/strong> Zudem wurde gerade bekannt, dass Sicherheitsforscher 3,5 Milliarden WhatsApp-Profile auslesen konnten. Fazit: Alles ist demn\u00e4chst \u00f6ffentlich, was irgendwie online ist. Ach ja, 1Password speichert Profilfotos ohne Authentifizierung auf seinen Servern.<\/p>\n

<\/p>\n

\"\"Es gab in den letzten Wochen zwei Meldungen, die irgendwie Wellen schlugen. Da war einmal die Meldung \u00fcber ein massiver Datenleck zu 183 Millionen Benutzerkonten, wobei sich auch Gmail-Passw\u00f6rter darunter befinden sollten (siehe diesen reddit.com-Thread<\/a>). Die Kollegen von Bleeping Computer hatten Ende Oktober 2025 in diesem Artikel<\/a> die Info aufgegriffen und geschrieben, dass Google eine Datenpanne bestreitet und die Berichte als falsche Behauptungen bezeichnet. Die Daten wurde mutma\u00dflich in fr\u00fcheren F\u00e4llen direkt durch Infostealer oder Phishing von den Systemen der Nutzer abgezogen.\u00a0Experten warnten die Nutzer aber, ihre Passw\u00f6rter sofort zu \u00e4ndern und die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.<\/p>\n

Und dann gab es noch die Meldung, dass ca. zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passw\u00f6rter aufgetaucht seien. Troy Hunt hatte zum 5. November 2025 den Beitrag 2 Billion Email Addresses Were Exposed, and We Indexed Them All in Have I Been Pwned<\/a> dazu ver\u00f6ffentlicht.<\/p>\n

Presseberichte \u00fcberschlagen sich<\/h2>\n

Der letztgenannte Vorfall hatte ein gro\u00dfes Presseecho zur Folge (siehe folgenden Screenshot).\u00a0Der oben verlinkte Beitrag von Troy Hunt ging bei vielen Meldungen aber irgendwie unter. Ein Blog-Leser schrieb beispielsweise zum 11. November 2025 im Diskussionsbereich \"Das ist doch sicher nur eine Sammlung aus Altbest\u00e4nden \u2013 oder?\" und verlinkte auf den ZDF-Beitrag Milliarden Mailadressen und Passw\u00f6rter online aufgetaucht<\/a>.<\/p>\n

\"2<\/p>\n

Ich hatte bereits geschrieben, dass das alles Altbest\u00e4nde an Daten sind, die auf Have I Been Pwned <\/em><\/a>eingestellt wurden. Troy Hunt hatte ja bereits zum 5. November 2025 im Beitrag 2 Billion Email Addresses Were Exposed, and We Indexed Them All in Have I Been Pwned<\/a> geschrieben, dass das alles kein neues Material sei.<\/p>\n

Vielmehr hat Synthient (ein Unternehmen im Bereich Cybersicherheit) im Jahr 2025\u00a0 Milliarden sogenannter Bedrohungsdaten aus verschiedenen Internetquellen aggregiert. Nach einer Normalisierung und Konsolidierung umfasste der Datensatz 183 Millionen eindeutige E-Mail-Adressen, jeweils zusammen mit den Websites, auf denen sie eingegeben wurden, und den dabei verwendeten Passw\u00f6rtern.<\/p>\n

Bei GMail sollte man bez\u00fcglich \"geleakter\" E-Mail-Adressen zudem vorsichtig sein. Ein Leser wies auf Seiten wie diese<\/a> hin, wo sich jeder GMail-Adressen generieren lassen kann.<\/p><\/blockquote>\n

Der Hintergrund zu Synthient<\/h2>\n

Synthient wird von einem Nutzer mit Vornamen Ben betrieben, einem Studenten, der gerade sein letztes Studienjahr in den USA absolviert, wie Troy Hunt hier<\/a> schreibt. Ben hat einen Artikel The Stealer Log Ecosystem: Processing Millions of Credentials a Day<\/a> ver\u00f6ffentlicht, in dem er erkl\u00e4rt, wie er mit Synthient Daten aus verschiedenen Quellen, darunter soziale Medien, Foren, Tor und Telegram bezieht, zusammenf\u00fchrt, um doppelte bzw. mehrfache Eintr\u00e4ge bereinigt, um dann die finalen Datens\u00e4tze zu haben. Diese hat er dann an Troy Hunt weiter gegeben, der das Ganze dann auf Have I Been Pwned ver\u00f6ffentlichte.<\/p>\n

Einsch\u00e4tzung von Tenable<\/h2>\n

Mir lag dazu bereits seit Ende Oktober 2025 eine fr\u00fche Einsch\u00e4tzung der Sicherheitsexperten von Tenable zu diesen Sachverhalten vor. Satnam Narang, Senior Staff Research Engineer bei Tenable, meinte dazu \"In verschiedenen Medienberichten ist von 183 Millionen Gmail-Passw\u00f6rtern die Rede, die angeblich aus einem Datenleck stammen. Diese Berichte zeichnen jedoch ein verzerrtes Bild der Lage \u2013 Google selbst war nicht von einem Sicherheitsvorfall betroffen. Stattdessen haben Sicherheitsforscher Bedrohungsdaten aus einer Vielzahl unterschiedlicher Quellen zusammengef\u00fchrt \u2013 darunter 183 Millionen eindeutige Zugangsdaten, die zu verschiedenen Websites geh\u00f6ren, einschlie\u00dflich Gmail-Konten.\"<\/em><\/p>\n

Das ist im Prinzip die Aussage, die ich weiter oben bereits getroffen hatte. Die Quelle solcher Datens\u00e4tze ist immer ein Mix aus Informationen, die aus anderen, bereits bekannten Datenlecks stammen. Diese Daten k\u00f6nnen auch aus sogenannten \"Infostealern\" stammen. Dass sind Schadprogrammen, die auf kompromittierten Systemen installiert sind und, sensible Informationen wie Benutzernamen, E-Mail-Adressen und Passw\u00f6rter abgreifen. Loggt sich ein Nutzer auf einem infizierten Ger\u00e4t in sein Gmail-Konto, sein Online-Banking oder soziale Netzwerke ein, werden diese Zugangsdaten in den sogenannten \"Stealer Logs\" aufgezeichnet.<\/p>\n

Tenable weist dann auch darauf hin, dass die Sicherheitsforscher bei Synthient einen umfangreichen Abgleichsdatensatz zusammengestellt <\/em>haben und an Troy Hunt von Have I Been Pwned<\/em> \u00fcbermittelt haben. Die Website von Troy Hunt katalogisiert Datenlecks und informiert registrierte Nutzer, sobald ihre E-Mail-Adresse in einem bekannten Leak auftaucht. Laut Hunts Analyse waren 91 Prozent der Datens\u00e4tze bereits aus fr\u00fcheren Leaks bekannt. Rund 16,4 Millionen Adressen wurden erstmals in diesen \"Stealer Logs\" entdeckt. Dabei ist laut Tenable zu ber\u00fccksichtigen, dass nicht alle Datens\u00e4tze zwangsl\u00e4ufig valide sind \u2013 die tats\u00e4chliche Zahl k\u00f6nnte also niedriger liegen.<\/p>\n

Problem: Mehrfachverwendung von Passw\u00f6rtern<\/h2>\n

Ein zentrales Problem im Zusammenhang mit gestohlenen Zugangsdaten ist, so Tenable, die Mehrfachverwendung von Passw\u00f6rtern. Sobald solche Daten im Umlauf sind, besteht die Hauptgefahr darin, dass Angreifer \"Credential Stuffing\" durchf\u00fchren: Dabei werden gro\u00dfe Mengen an Kombinationen aus E-Mail-Adresse und Passwort automatisiert auf verschiedenen Websites ausprobiert, um abzuklopfen, wo ein Login erfolgreich ist.<\/p>\n

Als Schutzma\u00dfnahmen sollten Nutzer Passw\u00f6rter nicht mehrfach verwenden, sondern Passwortmanager einsetzen, r\u00e4t Tenable. Dies kann eine integrierte L\u00f6sung in Android oder iOS oder ein Drittanbieter-Tool wie 1Password oder Bitwarden sein. Weiterhin sollte zudem Multi-Faktor-Authentifizierung (MFA) aktiviert werden, dort, wo es unterst\u00fctzt wird. Letztere kann etwa per SMS-Einmalcode, \u00fcber Authenticator-Apps, die alle 60 Sekunden neue Codes generieren, oder \u00fcber Hardware-Token wie YubiKey oder Titan Security Key erfolgen.<\/p>\n

Diese Ma\u00dfnahmen tragen laut Tenable entscheidend dazu bei, Online-Konten effektiv abzusichern. Aber das ist auch keine neue Information, sondern l\u00e4ngst bekannt.<\/p>\n

Das WhatsApp-Leak<\/h2>\n

Erg\u00e4nzung:<\/strong> Hatte es wieder vergessen, Sicherheitsforscher aus \u00d6sterreich waren in der Lage, das komplette WhatsApp-Mitglieder-Verzeichnis samt Profilinformationen (Bilder, Namen und Telefonnummern) \u00fcber eine API aufzulisten. Frank H. hatte mich bereits zum 18. November 2025 per Mail darauf hingewiesen – und ein anonymer Leser hatte mich per Kommentar daran erinnert (danke daf\u00fcr).<\/p>\n

Heise hat die Geschichte im sehr umfangreichen Beitrag 3,5 Milliarden User: Gesamtes WhatsApp-Verzeichnis abgeschnorchelt<\/a> aufbereitet. Ich erspare mir die Details, daher nur die Kurzfassung: Es konnten mehr als 3,5 Milliarden Konten mit ihren Daten abgerufen werden. Die Gruppe der Universit\u00e4t Wien und der \u00f6sterreichischen SBA Research hatte ab September 2024 entsprechende Meldungen bei Whatsapp eingereicht. Die Forscher bekamen zwar Empfangsbest\u00e4tigungen, aber es tat sich nichts.<\/p>\n

Man muss also davon ausgehen, dass auch andere Akteure diese Daten abrufen konnten.\u00a0F\u00fcr Meta ist es \"Scraping\" und man geht davon aus, dass die Daten von den Forschern sicher gel\u00f6scht wurden, und es zudem keine Hinweise darauf gegebe, dass dies von b\u00f6swilligen Akteuren missbraucht wurde. Also alles im gr\u00fcnen Bereich bei Meta, gehen sie weiter, es gibt nichts zu sehen.<\/p>\n

1Password speichert Profilfotos auf Servern<\/h2>\n

Dann gibt es noch eine Sicherheitsproblematik beim Passwort-Manager 1Password. Dieser speichert Profilfotos ohne Authentifizierung auf seinen Servern. Das geht aus nachfolgendem Tweet<\/a> hervor.<\/p>\n

\"1password<\/a><\/p>\n

Jeder, der die betreffende URL kennt, die auch die Konto-ID enth\u00e4lt, kann auf das Profilbild zugreifen. Das ist zwar keine gro\u00dfe Sache, schreibt Mysk, aber ein Passwort-Manager sollte auf jeden Fall vorsichtiger sein, meint er. Und nachdem er das Profilbild ge\u00e4ndert hatte, funktioniert der Link zum alten Profilbild immer noch, obwohl das alte Bild nirgendwo im Konto mehr zu sehen ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Vor einigen Tagen ging ja die Meldung \u00fcber ein riesiges Datenleck (das gr\u00f6\u00dfte der Geschichte) mit 2 Milliarden E-Mail-Adressen durch die Medien. Nachdem ich von Lesern angesprochen wurde, eine kurze Einordnung des Sachverhalts. Erg\u00e4nzung: Zudem wurde gerade bekannt, dass Sicherheitsforscher … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039],"tags":[451,4353,4328],"class_list":["post-318342","post","type-post","status-publish","format-standard","hentry","category-mail","tag-datenschutz","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318342"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318342\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}