Die größte Kontopasswort-Panne aller Zeiten! Über 16 Milliarden Konten und Passwörter sind geleakt, einschließlich Facebook, Google und Telegram.

Laut einer Untersuchung des Cybernews-Sicherheitsteams haben Forscher im ersten Halbjahr 2025 über 30 Datensätze entdeckt, die jeweils von mehreren Millionen bis über 3,5 Milliarden Datensätzen reichen. Diese Datensätze waren größtenteils kurzzeitig in unverschlüsselten Elasticsearch- oder Cloud-Objektspeichern zugänglich. Obwohl es derzeit keine Beweise dafür gibt, dass Hacker tatsächlich die Kontrolle übernommen haben, hat allein die Möglichkeit, auf diese Daten zuzugreifen, die gesamte Cybersicherheitsgemeinschaft erschüttert.

Diese Daten summieren sich auf insgesamt erstaunliche 16 k Kontoinformationen, was als die größte jemals nicht berichtete Datenpanne in der Geschichte gilt.

Eine Übersicht der 20 größten Datenlecks (maximale Einzeldatei über 3,5 Milliarden Datensätze)

Laut den von Cybernews veröffentlichten Datencharts enthält der größte Datensatz unter den Top 20 der geleakten Daten 3,564 k Datensätze, gefolgt von 2,892 k und 1,978 k.

Im Durchschnitt enthält jeder Datensatz 550 Millionen Anmeldeinformationen. Für Hacker stellen diese Daten nicht nur verfügbare Konten dar, sondern sind auch der Ausgangspunkt für Identitätsdiebstahl, Phishing-Angriffe und Unternehmensintrusion.

Einige dieser Datensätze werden mit generischen Begriffen wie “Logins” und “Credentials” bezeichnet, so dass es unmöglich ist, die Quelle zu identifizieren. Es gibt aber auch namensgebende Enthüllungen in Bezug auf bestimmte Plattformen wie Telegram, russische Websites oder einige Cloud-Anwendungen, die zeigen, dass die Daten nicht aus einer einzigen Quelle stammen, sondern das Ergebnis einer langfristigen Sammlung durch mehrere Malware (Infostealer) sind.

Dieser Datenleck ist kein “Wiederversand alter Daten”.

Das Forschungsteam betont, dass diese Daten nicht einfach alte Daten sind, die wiederholt durchgesickert sind, sondern dass sie strukturell vollständig und die Erfassungsmethode klar ist. Sie enthalten sogar Anmeldungs-URLs, Kontonamen, Passwörter, Cookies, Tokens, Systemmetadaten usw. Eine solche Datenkombination kann von Hackern für automatisierte Anmeldetests, Kontoübernahmen und maßgeschneiderte Betrugs-E-Mails verwendet werden.

Diese geleakten Informationen stammen von verschiedenen Plattformen, einschließlich sozialer Medien (Facebook, Telegram), Cloud-Speicherdiensten (Google Drive, Apple ID), Entwicklerplattformen (GitHub) und es gibt sogar einige Aufzeichnungen, die auf Verbindungen zu Anmeldedaten von Regierungswebsites hinweisen.

Wer sollte sich Sorgen machen? Fast alle Menschen, die online sind, stehen auf dieser Risikoliste.

Aufgrund der großen Bandbreite an Informationsquellen und der ähnlichen inhaltlichen Struktur räumt das Forschungsteam ein, dass es unmöglich ist, genau zu schätzen, wie viele Accounts Unique Records sind, und eine Vervielfältigung kann nicht vollständig ausgeschlossen werden. Aber angesichts von 16 Milliarden Datensätzen reicht selbst 1 % der erfolgreichen Kontodiebstähle aus, um Millionen von Menschen zu betreffen.

Besonders bemerkenswert ist, dass einige Datensätze von der Malware namens Infostealers stammen. Sobald ein Benutzer infiziert ist, könnten seine Anmeldeinformationen sofort in die Hacker-Datenbank gesendet werden. Diese Datenbanken werden nicht nur verkauft, sondern oft auch weiterveräußert und zu größeren Sammlung von Dateien umorganisiert.

Neuer Rekord nach MOAB? Globaler Datenleck tritt in die “Übermaß”-Ära ein

Bereits im Jahr 2024 hatte Cybernews von dem als größte Datenpanne der Geschichte bezeichneten “Mother of All Breaches (MOAB)” berichtet, bei dem insgesamt 26 Milliarden Datensätze gesammelt wurden. Dieses Mal ist jedoch anders: Die 16 Milliarden Kontodaten stammen nicht aus einem einzelnen Vorfall, sondern sind das Ergebnis einer Integration aus mehreren Quellen in einem “taktischen Angriffsplan”.

Forscher warnen, dass diese Daten zur “Brennstoffquelle” für Phishing-Angriffe, Kontoübernahmen, Ransomware und sogar Business Email Compromise (BEC)-Aktivitäten werden. Wenn Unternehmen keine verstärkten Maßnahmen wie Zwei-Faktor-Authentifizierung, mehrschichtige Sicherheitsmaßnahmen und Überwachung des Kontoverhaltens ergreifen, könnten sie sehr wahrscheinlich das nächste Opfer werden.

Kann nicht gestoppt werden, also anfangen zu verteidigen: Benutzer sollten diese Maßnahmen sofort ergreifen.

Obwohl das Forschungsteam betont, dass diese Daten nicht lange öffentlich zugänglich waren und unklar ist, ob sie von Hackern heruntergeladen wurden, ist es für normale Benutzer und Unternehmen dennoch notwendig, sofort eine Sicherheitsprüfung durchzuführen.

Aktualisieren und Stärken des Kontopassworts (Verwendung eines Passwortmanagers)

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA / 2FA)

Überprüfen Sie, ob im Browser und im System ein Infostealer versteckt ist.

Vermeiden Sie es, Anmeldedaten auf verdächtigen Websites einzugeben.

Wenn Sie das Passwort auf verschiedenen Plattformen wiederholt verwendet haben, sollten Sie es sofort ändern.

Dieser Artikel: Der größte Datenleck von Kontonamen und Passwörtern in der Geschichte! Bis zu 16 k Datensätze sind durchgesickert, einschließlich Facebook, Google, Telegram. Zuerst erschienen auf Chain News ABMedia.