184 Millionen Klartext-Logins, darunter Zugangsdaten zu Apple, Google, Facebook und Regierungs-E-Mail-Konten aus 29 Ländern. Das ganze klingt wie das Drehbuch für einen Hacker-Blockbuster, ist aber Realität. Der Fund stammt von Sicherheitsforscher Jeremiah Fowler, der regelmäßig frei zugängliche Datenbanken aufspürt. Doch diese hier ist selbst für seine Verhältnisse ein ziemliches Monster: Über 47 GB an sensiblen Account-Daten lagen öffentlich zugänglich auf einem falsch konfigurierten Elastic-Server, inklusive Passwörtern im Klartext, freundlich beschriftet mit „Senha“, dem portugiesischen Wort für Passwort.
Die Herkunft ist völlig unklar. Kein Hinweis auf ein Unternehmen, keinen Hinweis auf eine Forschungseinrichtung, nicht mal ein Logo. Stattdessen ein bunter Mix: Facebook, Google, Microsoft, PayPal, Amazon, Roblox, sogar staatliche Mail-Adressen mit .gov-Domains. In einem 10.000-Datensätze starken Sample fand Fowler 220 Regierungsadressen aus insgesamt 29 Ländern. Man möchte fast meinen, jemand hätte einen universellen "Infostealer-Bucket" gebaut, eine Art Greatest Hits der IT-Sorglosigkeit.
Fowler vermutet, dass es sich bei der Datenbank um ein Sammelbecken kompromittierter Login-Daten handelt, entweder aus vorherigen Leaks oder von Malware abgegriffen. Wer auch immer diese Daten zusammengetragen hat, hat entweder sehr fahrlässig oder sehr kriminell gehandelt. Oder beides.
Nach seiner Entdeckung meldete Fowler das Leck an den Hoster World Host Group. Der Server wurde daraufhin abgeschaltet, allerdings erst, nachdem WIRED bei der Firma nachgehakt hatte. Kommunikation auf Augenhöhe sieht anders aus.
Was bleibt? Die traurige Erkenntnis, dass riesige Datenberge mit Klartext-Passwörtern weiterhin irgendwo im Internet herumschwirren... unverschlüsselt, ungesichert, unklar zuzuordnen. Solche Funde sind keine Seltenheit mehr, sondern Symptom eines Problems. Wer zu viele Daten ohne klares Konzept speichert, wird früher oder später zur Einladung für Kriminelle.
Wenn du beim Lesen des obigen Beitrags nervös geworden bist - keine Sorge, du bist nicht allein. Die gute Nachricht: Es gibt ein öffentliches Tool, mit dem du kostenlos prüfen kannst, ob deine E-Mail-Adresse oder Telefonnummer in einem bekannten Datenleck aufgetaucht ist. Und ja, das Tool hat einen Namen, der klingt wie ein Tippfehler nach drei Bier: Have I Been Pwned. „Pwned“ ist ein alter Gamer-Slang für „owned“, also übernommen - nur mit Tastatur-Wutanfall geschrieben.
Der Dienst wurde vom Sicherheitsforscher Troy Hunt ins Leben gerufen und durchsucht regelmäßig geleakte Datenbanken nach kompromittierten Konten. Gib einfach deine E-Mail-Adresse ein und du erfährst, ob sie in einem der vielen dokumentierten Leaks steckt - samt Angabe, wo und wann das passiert ist. Keine Anmeldung, kein Tracking, kein Bullshit.
Wichtig: „Kein Fund“ heißt nicht automatisch „alles sicher“. Es heißt nur, dass deine Daten in den durchsuchten öffentlichen Leaks nicht aufgetaucht sind. Für maximale Sicherheit gilt:
- Nutze niemals dasselbe Passwort mehrfach
- Verwende einen Passwort-Manager
- Aktivier Zwei-Faktor-Authentifizierung überall, wo's geht
Oder anders gesagt: Wer 2025 noch denkt, dass passwort ein sicheres Passwort ist, wird irgendwann ziemlich sicher gepwned.
Kommentare (0)