Sicherheitsforscher haben eine ungeschützte Datenbank mit rund 24 Milliarden gestohlenen Zugangsdaten im offenen Netz entdeckt. Der Fund markiert eine neue Dimension der Cyberkriminalität.
Die am 12. Juni 2026 von den Forschern von Cybernews aufgespürte Elasticsearch-Datenbank umfasst 8,3 Terabyte an sensiblen Informationen. Sie vereint Daten aus 36 verschiedenen Quellen – darunter Logs von Datendiebstahl-Schadsoftware und diverse Hacking-Telegram-Kanäle. Rund 1,7 Milliarden Einträge stammen demnach direkt aus Telegram-Datenablagen. Die gestohlenen Datensätze enthalten eine Mischung aus Benutzernamen, E-Mail-Adressen und Klartext-Passwörtern.
Zusätzliche 150 Millionen Passwörter von Google- und Meta-Nutzern
Anzeige: Angesichts von 24 Milliarden gestohlenen Passwörtern und 150 Millionen zusätzlich erbeuteten Zugangsdaten von Google- und Meta-Nutzern ist jetzt schnelles Handeln gefragt. Dieser kostenlose Report zeigt Ihnen in drei Schritten, wie Sie Ihre Accounts sichern – inklusive 2FA-Anleitung und Schutz vor aktueller Malware. Jetzt kostenlosen Report anfordern
Die Lage verschärft sich weiter: Wie am heutigen Mittwoch bekannt wurde, haben separate Schadsoftware-Kampagnen zusätzlich 150 Millionen Passwörter von Nutzern der Dienste Gmail, Instagram und Facebook erbeutet und online gestellt. Analysten von Malwarebytes bestätigten, dass die Elasticsearch-Datenbank kurzzeitig öffentlich zugänglich war, bevor sie vom Netz genommen wurde.
Sicherheitsexperten warnen: Jeder Account ohne Zwei-Faktor-Authentifizierung ist akut gefährdet. „Die schiere Menge macht diesen Leak historisch“, so ein Sprecher. „Wer sein Passwort seit Jahren nicht geändert hat, sollte das heute noch tun.“
Neue Android-Trojaner und Mac-Malware im Umlauf
Parallel zu den Datenfunden sind mehrere neue Schadsoftware-Stämme aufgetaucht. Der Android-Banking-Trojaner Rokarolla zielt auf 217 verschiedene Banking- und Kryptowährungs-Apps ab. Laut einem Bericht von Zimperium vom 17. Juni verbreitet sich die Malware über gefälschte Webseiten, die als offizielle Download-Seiten für Chrome oder TikTok getarnt sind. Rokarolla nutzt 137 verschiedene Befehle, um Geräte fernzusteuern, Bildschirmfotos zu erstellen und SMS-Codes oder Sperrbildschirm-PINs abzufangen.
Auch Mac-Nutzer sind betroffen: Der Amos Stealer greift macOS-Schlüsselbunddateien, browsergespeicherte Passwörter und Entwicklerkonfigurationen an. Die Malware nutzt native macOS-Tools wie curl und ditto, um Daten an Angreifer-Server zu übertragen. Verbreitet wird sie vor allem durch Social Engineering und gefälschte Software-Downloads.
Lieferketten-Angriff auf KI-Framework
Besonders besorgniserregend: Ein Angriff auf die Lieferkette des Mastra-KI-Frameworks hat mehr als 140 npm-Pakete kompromittiert. Die Angreifer schleusten eine bösartige Abhängigkeit namens „easy-day-js“ ein – eine Tippfehler-Version einer legitimen Bibliothek. Der Angriff zielt auf Entwickler-Zugangsdaten und Kryptowallet-Daten ab. Die betroffenen Pakete verzeichnen zusammen fast 918.000 wöchentliche Downloads.
Im Bereich der Entwicklungsumgebungen wurden zudem 15 schädliche Plugins für JetBrains-IDEs entdeckt. Sie stehlen API-Schlüssel für verschiedene KI-Modelle, darunter OpenAI und DeepSeek. Die Plugins hatten insgesamt fast 70.000 Installationen und übertragen die sensiblen Schlüssel unverschlüsselt per HTTP. Die ersten dieser Plugins tauchten bereits Ende 2025 auf, die neuesten Versionen wurden im Juni 2026 entdeckt.
Anzeige: Neue Android-Trojaner wie Rokarolla und Mac-Malware wie der Amos Stealer sind bereits aktiv. Wer sein Passwort seit Jahren nicht geändert hat, riskiert den Verlust sensibler Daten. Dieser Leitfaden hilft Ihnen, sich mit konkreten Werkzeugen und einer Schritt-für-Schritt-Anleitung zu schützen. Soforthilfe-Report jetzt sichern
Fortinet-Zugänge und Joomla-Sicherheitslücke
Die Bedrohungslage wird durch Schwachstellen in der Netzwerkinfrastruktur weiter verschärft. Eine Datenbank mit über 30.000 verifizierten Zugangsdaten für Fortinet-Firewalls und VPNs wurde offengelegt. Betroffen sind Regierungs-, Telekommunikations- und Bankensektoren in 194 Ländern.
Die US-Cybersicherheitsbehörde CISA hat am 17. Juni eine Anordnung erlassen: Bundesbehörden müssen eine kritische Sicherheitslücke im Joomla Content Editor (JCE)-Plugin schließen. Die Schwachstelle ermöglicht Code-Ausführung ohne Authentifizierung und wird bereits aktiv ausgenutzt. Die Behörden haben bis Ende dieser Woche Zeit, die erforderlichen Patches zu installieren.
