Die Woche ging die Meldung über ein riesiges Datenleck mit 16 Milliarden Zugangsdaten durch die Presse. Riesen-Problem für Apple, Google, Meta, Microsoft & Co. hieß es. Hintergrund ist, dass Sicherheitsforscher auf eine entsprechende Datensammlung stießen, die 16 Milliarden Datensätze mit Zugangsdaten enthielt. Hier ein Überblick über die Sachlage.
Die Meldungen über das Datenleck
Vor einigen Tagen überschlugen sich die Meldungen über ein riesiges Datenleck in der Tagespresse und in sozialen Medien (das Thema wurde mir auch von Lesern gemeldet). Nachfolgend ein Tweet, der mir untergekommen ist:
Das "größte Passwort-Leck" der Geschichte sei soeben bestätigt worden, hieß es: 16 Milliarden Anmeldedaten, viele davon von großen Plattformen wie Apple, Google, Facebook, GitHub und anderen, seien nun offengelegt und im Umlauf. Nachfolgend ein Presseausriss (Medium schreibe ich mal nicht dazu – gibt Redaktionen, die die Story inzwischen umgeschrieben haben), was dann daraus gemacht wurde.
Ursprung war ein Artikel 16 billion passwords exposed in record-breaking data breach, opening access to Facebook, Google, Apple, and any other service imaginable von CyberNews, der am 18. Juni 2025 online ging. "Jemand" war im Internet auf 30 verschiedene Datenbanken mit Zugangsdaten für Online-Konten gestoßen. Die Addition der in den Datenbanken gefundenen Datensätze ergab dann 16 Milliarden Daten – was in 16 Milliarden Zugangsdaten für viele Anbieter wie Apple, Google, Meta, Microsoft etc. umgedeutet wurde.
CyberNews bezeichnete es als "größtes Datenleck der Geschichte" – wobei der ursprüngliche Titel des Beitrags übersetzt "das größte Datenleck der Geschichte, von dem niemand etwas gehört hat" lautete. Es wurde vermutet, dass die Daten höchstwahrscheinlich von verschiedenen Infostealern bei Opfern erbeutet wurden. Der Artikel reklamiert immer noch, dass die Daten neu seien und nicht einfach aus alten Datenpannen recycelt wurden. Quellen, wo die Daten gefunden wurde, gibt es keine.
Einordnung des Sachverhalts
Es kamen schnell Zweifel auf, was die Geschichte betrifft – von den genannten großen Anbietern wie Apple, Google oder Microsoft gab es bisher keine Bestätigung eines Hacks, bei dem Benutzerdaten erbeutet wurden.
Obiger Tweet von vx-underground bringt es auf den Punkt – CyberNews nennt keine Quellen und es bestand der Verdacht, dass da AI-generierte Textauszüge im Artikel mit dabei waren.
Inzwischen hat CyberNews den Beitrag zum 20. Juni 2025 nochmals kräftig überarbeitet. Es ist davon auszugehen, dass es viele Doubletten in den Datensätzen gibt, so dass keine 16 Milliarden Zugangsdaten in den 30 Datenbanken zu finden sind. Zudem gehen Experten davon aus, dass viele der Daten aus älteren Datenleck stammen oder über lange Zeiten von Infostealern bei Opfern abgezogen wurden.
Troy Hunter, der die Seite Have I been pwned betreibt, schrieb, dass er sich gerade einen Tag frei genommen habe und von der Meldung überrascht wurde. Er prüft noch, ob er die Daten in seine Datenbank aufnehmen kann. Und hier schreibt er, dass er eine Million Abrufe binnen eines halben Tages nach Veröffentlichung der Nachricht verzeichnete, obwohl er die Daten noch nicht mal gesehen hat.
Aktuell ist die Einschätzung, dass die gefundenen Daten wohl zu einem guten oder dem größten Teil aus älteren Datenlecks stammen. Die Frage ist, ob sich die Bedrohungslage nun wirklich geändert hat?
Wer von mit Systemen arbeitet, die von einem Infostealer befallen sind, dessen Zugangsdaten dürften abgeflossen sein und missbraucht werden. Die Bedrohungslage wird sich nicht erhöht haben, die war ja schon da. Wer eine Passwort-Hygiene praktiziert und ein Passwort nur für ein Online-Konto verwendet, hat das Risiko bereits minimiert. Wenn diese Person keine Passwörter aus Datenlecks nutzt und auch nicht durch Infostealer ausspioniert wird, dürfte durch obiges Datenleck auch nicht stärker als vorher bedroht werden. Die Kollegen von Bleeping Computer hegen hier ähnliche Gedanken. Das ist auch der Grund, warum ich die Geschichte bis heute verzögert habe.
MVP: 2013 – 2016
Da hat sich wie üblich einer hingesetzt und mehre Datenbankleaks der letzten Jahrzehnte in eine Datenbank zusammengeführt… war aber bereits Stunden nach der Veröffentlichung klar… nur bringt das ja keine Klicks für die Presse, also haben die das tote Schwein weiterhin durch die Nachrichten gejagt!
As every year James ;-P next news, please.
"von CyberNews, der am 18. Juni 2025 online ging"
Es gab dazu schon ältere Meldungen, teils schon 1 Woche her. Aufregen braucht man sich nicht, sofern man 2FA bei diesen Anbietern aktiviert hat.
Beide Aussagen von Ihnen sind, entschuldigen Sie die Worte, absoluter Quatsch.
Nein. Richtige und fundierte Antworten. MFA und gut ist.
Sobald das "session cookie" gestohlen werden kann, so ist vorbei mit MFA (auch 10-FA nützt da nichts).
https://www[dot]knowbe4[dot]com/press/knowbe4-chief-hacking-officer-kevin-mitnick-reveals-new-exploit-that-hacks-two-factor-authentication
Natürlich ist das auch viel Panikmache. Aber die hat dazu geführt, dass ich meine Passwörter und Accounts überprüft habe. Und siehe da, zwei Passwörter waren kompromittiert. Also jetzt mal ganz ruhig durch die Hose atmen und Daten checken.
Bei mir hat die Panikmache wenigsten dazu geführt das ich meine eMail Anmeldungen endlich mal auf 2FA-Auth umgestellt habe. Den NFC USB-Stick dazu habe ich schon einige Zeit rumliegen…