27. Januar 2026, 11:55 Uhr | Lesezeit: 3 Minuten
Rund 149 Millionen gestohlene Logins und Passwörter sind auf einem ungeschützten Server entdeckt worden. Die frei zugänglichen Datensätze umfassen Informationen für E-Mail-Dienste, soziale Netzwerke, Streaming-Plattformen, Online-Shops und weitere digitale Angebote. Auch Zugangsdaten von Regierungsbehörden sind enthalten.
Umfang der geleakten Logins und Passwörter
Entdeckt wurde der Datensatz von dem Cybersicherheitsexperten Jeremiah Fowler, dessen Erkenntnisse bei „ExpressVPN“ veröffentlicht wurden. Der Fund verdeutlicht die anhaltende Gefahr durch Schadprogramme, die Logins und Passwörter unbemerkt abgreifen und zentral speichern.
Der öffentlich erreichbare Server enthielt rund 149 Millionen Kombinationen aus E-Mail-Adressen, Benutzernamen und Passwörtern. Zusätzlich waren in vielen Fällen direkte Verweise auf die jeweiligen Anmelde- oder Autorisierungsseiten gespeichert. Der Server war weder passwortgeschützt noch verschlüsselt.
E-Mails besonders stark betroffen
Ein großer Teil der Einträge entfiel auf E-Mail-Dienste. Betroffen waren unter anderem Gmail mit rund 48 Millionen Datensätzen, Yahoo mit etwa vier Millionen sowie Outlook mit rund 1,5 Millionen Einträgen. Auch iCloud-Konten von Apple waren mit etwa 900.000 Zugangsdaten vertreten.
Auch interessant: Diese Passwörter können Betrüger in einer Sekunde knacken
Fowler stellte klar, dass keine Unternehmenssysteme kompromittiert wurden. „Es handelt sich hierbei um kompromittierte Nutzerkonten, nicht um die Konten der Unternehmen selbst“, erklärte er. Hinweise auf direkte Angriffe auf die Anbieter lagen nicht vor.
1,3 Milliarden Passwörter geleakt – das sollten Sie jetzt tun
Hacker stellt 617 Millionen gestohlene Nutzeraccounts zum Verkauf
Weitere Plattformen und Online-Dienste
Neben E-Mail-Konten fanden sich zahlreiche Zugangsdaten zu sozialen Netzwerken und Unterhaltungsdiensten. Dazu zählten Facebook mit rund 17 Millionen Einträgen, Instagram mit etwa 6,5 Millionen sowie Netflix mit rund 3,4 Millionen Log-ins. Auch OnlyFans war mit etwa 100.000 Logins und Passwörtern betroffen.
Darüber hinaus enthielt der Datensatz Zugangsdaten zu weiteren Streaming- und Spieleplattformen wie HBO Max, Disney+ und Roblox, allerdings in geringerer Anzahl. Auch Nutzerkonten von Online-Händlern, Partnerbörsen und Vergleichsportalen waren enthalten, darunter mehrere bekannte Unternehmen aus Europa.
Zusätzlich tauchten Anmeldedaten von Finanzdiensten auf. Dazu gehörten Zugänge zu Krypto-Wallets, Handelsplattformen sowie Bank- und Kreditkartenportalen. Welche Funktionen über die einzelnen Konten erreichbar waren, ist nicht bekannt.
Regierungszugänge und sicherheitsrelevante Risiken
Besonders sensibel sind Zugangsdaten mit Regierungsbezug. Fowler wies auf Anmeldedaten hin, die mit sogenannten .gov-Domains aus verschiedenen Ländern verknüpft waren.
Nicht jedes dieser Konten ermöglicht den Zugriff auf kritische Systeme. Dennoch können auch eingeschränkte Benutzerkonten ein Risiko darstellen. Abhängig von Rolle und Berechtigungen können bereits begrenzte Zugänge missbraucht werden.
Der Fund steht im Zusammenhang mit sogenannter Infostealer-Schadsoftware. Diese Programme stehlen Zugangsdaten von infizierten Geräten und speichern sie gesammelt ab.