24 Milliarden Passwoerter in offenem Elasticsearch-Server geleakt

01.07.2026 4
24 Milliarden Passwoerter in offenem Elasticsearch-Server geleakt

Sicherheitsforscher von Cybernews entdeckten einen offenen Elasticsearch-Server mit 8,3 Terabyte gestohlener Zugangsdaten - rund 24 Milliarden Eintraege aus 36 verschiedenen Quellen. Der im Spaetsommer 2026 gefundene Datensatz kombiniert frische Infostealer-Logs, Telegram-Kanaele mit gestohlenen Kartendaten und direkte Exporte aus kompromittierten Unternehmensdatenbanken. Ein erheblicher Anteil der Eintraege stammte zum Zeitpunkt der Sammlung von aktiven Live-Servern. VPN-Zugangsdaten, SaaS-Logins und Banking-Passwoerter sind im gesamten Datensatz vertreten.

Was gefunden wurde und woher es stammt

Infostealer-Malware ist eine Kategorie von Software, die still und heimlich gespeicherte Browser-Passwoerter, Session-Cookies, Autofill-Daten und Krypto-Wallet-Dateien von infizierten Geraeten abgreift. Nach der Installation - typischerweise ueber Phishing-E-Mails, gecrackte Software oder boeswillige Browser-Erweiterungen - uebertraegt ein Infostealer alles Gefundene innerhalb von Sekunden an einen Command-and-Control-Server. Der Betreiber verkauft die resultierenden Logs dann in Telegram-Kanaelen oder auf Darknet-Marktplaetzen.

Der Cybernews-Datensatz aggregiert 36 solcher Quellen in einem einzigen durchsuchbaren Index. Die 24-Milliarden-Zahl enthaelt Duplikate, aber die Forscher identifizierten einen erheblichen Anteil einzigartiger Zugangsdaten-Paare - E-Mail-Adressen kombiniert mit Klartext- oder schwach gehashten Passwoertern. Das Vorhandensein von Live-Server-Exporten deutet darauf hin, dass ein Teil der Daten zum Zeitpunkt der Indexierung noch aktuell war.

Wesentlicher Unterschied: Dies ist kein klassischer Datenbankdiebstahl bei einem einzigen Unternehmen. Infostealer-Logs enthalten Zugangsdaten, die direkt von infizierten Geraeten abgegriffen wurden - d.h. Passwoerter, die der Nutzer aktiv eingegeben oder im Browser gespeichert hatte, oft aktuell zum Zeitpunkt des Diebstahls.

Warum Infostealer-Daten gefahrlicher sind als Standardpannen

Bei einem herkoemmlichen Datenleck stehlen Angreifer die Datenbank eines Unternehmens. Diese Zugangsdaten sind typischerweise gehasht, koennen Monate oder Jahre alt sein und repraesentieren, was Nutzer bei der Registrierung eingegeben haben. Die ShinyHunters-Gruppe legte 455.000 Studentendatensaetze der Universitaet Nottingham offen - Namen, E-Mails und gehashte Passwoerter aus einer einzigen Institutsdatenbank.

Infostealer-Daten funktionieren anders. Die Malware erfasst Passwoerter beim Tippen oder beim Abrufen aus dem Browser-Passwort-Speicher. Das Ergebnis ist ein Klartext-Benutzername-Passwort-Paar, aktuell zum Zeitpunkt der Infektion. Kein Hash muss geknackt werden. Der Fortibleed-Vorfall legte 86.000 Fortinet-VPN-Zugangsdaten im Klartext offen - durch Geraetekompromittierung statt Datenbankdiebstahl.

Das bedeutet: Selbst wenn Sie immer starke, einzigartige Passwoerter verwendet haben, kann eine Infostealer-Infektion auf einem Ihrer Geraete alle zu diesem Zeitpunkt im Browser gespeicherten Zugangsdaten offenlegen. Passwortsstaerke ist irrelevant, wenn das Passwort vor jeder Verschluesselung abgefangen wird.

Wie Sie pruefen, ob Ihre Daten betroffen sind

Mehrere Dienste ermoglichen die Prufung, ob Ihre E-Mail-Adresse oder bestimmte Passwoerter in bekannten Leak-Datensaetzen erscheinen. Keiner dieser Dienste erfordert die Eingabe Ihres echten Passworts - alle verwenden kryptografische Verfahren und pruefen nur gegen gehashte Versionen.

  • Have I Been Pwned: Der etablierteste kostenlose Dienst. E-Mail eingeben, um zu sehen, in welchen Datenpannen sie aufgetaucht ist, oder einzelne Passwoerter per k-Anonymitaets-Hashing pruefen - Ihr vollstaendiges Passwort wird nie uebertragen. Der Dienst hat jetzt eine spezielle "Stealer Logs"-Kategorie fuer Infostealer-Daten.
  • Cybernews Personal Data Leak Checker: Betrieben von denselben Forschern, die diesen Datensatz gefunden haben. Prueft Ihre E-Mail gegen deren eigene Datenbank, einschliesslich des hier beschriebenen 24-Milliarden-Datensatzes.
  • Firefox Monitor: Mozillas kostenloser Dienst, basierend auf Have-I-Been-Pwned-Daten. Bietet laufendes Monitoring - benachrichtigt per E-Mail, wenn Ihre Adresse in kuenftigen Datenpannen erscheint.
  • Google Password Checkup: Wenn Sie Passwoerter in Chrome speichern, vergleicht Google sie mit bekannten kompromittierten Zugangsdaten und warnt bei Uebereinstimmungen. Ihre Klartextpasswoerter werden nicht an Google-Server uebertragen.
Was diese Tools nicht koennen: Sie koennen nicht feststellen, ob Ihr Passwort von einem Infostealer abgegriffen wurde, bevor dieser Datensatz indexiert wurde. Bei einer Geraetkompromittierung koennen Zugangsdaten in geschlossenen Telegram-Kanaelen oder Marktplaetzen kursieren, die noch in keiner oeffentlichen Datenbank erfasst sind. Ein sauberes Ergebnis heute garantiert keine Sicherheit vor einer Infektion vor sechs Monaten.

Was zu tun ist, wenn Ihre Daten gefunden wurden

Wenn einer der genannten Dienste eine Ubereinstimmung mit Ihrer E-Mail oder Ihren Passwoertern findet, sollte die Reaktion sofortig und systematisch sein:

  1. Aendern Sie das betroffene Passwort sofort beim betroffenen Dienst. Wenn Sie dasselbe Passwort woanders verwendet haben, aendern Sie es uberall.
  2. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei allen Konten, die sie unterstuetzen. Selbst wenn ein Angreifer Ihr richtiges Passwort hat, verhindert ein TOTP-Code oder Hardware-Schluessel den Zugriff. Authenticator-Apps (Google Authenticator, Authy, Aegis) sind staerker als SMS-basierte 2FA.
  3. Wechseln Sie zu einem Passwortmanager, der fuer jeden Dienst einzigartige, zufallige Passwoerter generiert. Wenn Sie Passwoerter nicht wiederverwenden, bleibt eine einzelne Kompromittierung auf ein Konto beschraenkt. Bitwarden, 1Password und KeePassXC sind etablierte Optionen.
  4. Pruefen Sie Ihre Geraete auf Infostealer-Infektionen. Wenn ein Passwort durch Malware statt durch einen Datenbankdiebstahl abgegriffen wurde, entfernt die Passwortaenderung nicht die Malware. Fuehren Sie einen Vollscan mit einem aktuellen Antivirusprogramm durch.
  5. Beenden Sie aktive Sitzungen bei kritischen Konten (E-Mail, Banking, Cloud-Speicher). Die meisten Plattformen bieten in den Sicherheitseinstellungen eine Option "Alle anderen Sitzungen beenden".

Was Ihre Konten wirklich schutzt

Ein VPN verschlusselt Ihren Internetverkehr und verhindert Netzwerkabhoerung. Es schuetzt nicht vor Infostealer-Malware, die vollstaendig auf Ihrem Geraet operiert, bevor Daten das Netzwerk erreichen. Die Carnival-Cruises-Panne legte Passdaten von 6 Millionen Reisenden offen - ein anderer Angriffsvektor, aber mit denselben praktischen Konsequenzen fuer die Opfer.

Der effektivste mehrschichtige Schutz gegen Zugangsdatendiebstahl kombiniert: einen Passwortmanager mit einzigartigen Zugangsdaten pro Dienst, Hardware- oder App-basierte 2FA auf jedem unterstuetzen Konto und regelmaessige Pruefungen gegen Leak-Datenbanken. Ein VPN ergaenzt die Netzwerkschicht, kann aber keine wiederverwendeten Passwoerter oder infizierte Geraete kompensieren.

Sofort-Checkliste: (1) Pruefen Sie Ihre Hauptadressen auf haveibeenpwned.com. (2) Bei Treffer: Passwort ueberall aendern, wo es verwendet wurde. (3) 2FA bei E-Mail, Banking und Cloud-Speicher aktivieren. (4) Passwortmanager installieren, Passwortwiederverwendung stoppen. (5) Geraete auf Malware pruefen.
Tags: privacy cybersecurity security data breach data protection internet security vpn

Auch lesenswert