149 Millionen gestohlene Benutzernamen: Erneut umfangreicher Datendiebstahl aufgedeckt

Eine cyberkriminelle Datenbank wurde offenbar mittels Infostealer-Malware zusammengestellt, welche unbemerkt Anmeldedaten von infizierten Geräten abgreift

[datensicherheit.de, 28.01.2026] Shane Barney, „Chief Information Security Officer“ (CISO) bei Keeper Security, geht in seiner aktuellen Stellungnahme auf einen Vorfall ein, bei dem eine öffentlich zugängliche Datenbank mit 149 Millionen gestohlenen Benutzernamen und Passwörtern vom Netz genommen werden musste, nachdem ein Experte diese Sicherheitslücke entdeckt und den Hosting-Anbieter darüber informiert hatte. Die Datenbank scheint demnach mithilfe von Infostealer-Malware zusammengestellt worden zu sein, welche unbemerkt Anmeldedaten von infizierten Geräten abgreift.

Keeper Security

Shane Barney warnt: Sobald ein Gerät kompromittiert ist, wird alles, womit der Nutzer interagiert, Teil des Sammelprozesses

Datensammlung weniger wegen der Größe als ihrer operativen Bedeutung relevant

„Die Zahlen sind erschreckend. Der Sicherheitsexperte fand 48 Millionen ,Gmail’-Zugangsdaten, dazu 17 Millionen ,fcebook’-Logins sowie 420.000 Konten der Kryptowährungs-Handelsplattform ,Binance’“, berichtet Barney.

• Doch dieser Vorfall habe sich nicht nur auf Verbraucher-Dienste beschränkt. Auch Zugangsdaten zu staatlichen Systemen aus mehreren Ländern hätten sich in der Datenbank neben Online-Banking-Zugängen, Kreditkartenkonten und Logins zu Streaming-Diensten befunden.

Barney führt aus: „Diese gemeldete Datensammlung ist weniger wegen ihrer Größe relevant, sondern wegen ihrer operativen Bedeutung. Es handelt sich nicht um eine Sicherheitsverletzung im klassischen Sinne und auch nicht um den Beleg eines einzelnen Versagens.“

Zugangsdaten für Verbraucherplattformen, Finanzdienstleister und staatliche Systeme

Vielmehr sei sie das Produkt eines „Ökosystems“, welches kontinuierlich Zugangsdaten von Endgeräten absauge und über längere Zeit unbemerkt Zugriffsrechte anhäufe.

• Sogenannte Infostealer zielten nicht auf einzelne Dienste ab, sondern auf Nutzer. „Sobald ein Gerät kompromittiert ist, wird alles, womit der Nutzer interagiert, Teil des Sammelprozesses.“

Deshalb tauchten Zugangsdaten für Verbraucherplattformen, Finanzdienstleister und staatliche Systeme nebeneinander auf.

Offline genommene Datenbank behebt zugrundeliegendes Problem nicht

Aus Sicht der Angreifer liege der Wert nicht in einem einzelnen Konto, sondern in der Möglichkeit, Identitäten zu korrelieren, Zugänge wiederzuverwenden und sich „seitlich“ innerhalb von Organisationen zu bewegen, ohne Alarme auszulösen.

• Die öffentliche Auffindbarkeit großer Mengen gestohlener Daten sei dabei fast nebensächlich. „Wichtiger ist, dass Verteidiger solche Funde häufig als isolierte Vorfälle behandeln, statt sie als Hinweis auf eine fortschreitende Erosion von Identitäten zu verstehen.“

Eine Datenbank offline zu nehmen, behebe das zugrundeliegende Problem nicht. Denn viele dieser Zugangsdaten blieben lange nach ihrem Diebstahl weiterhin gültig und vertrauenswürdig.

Kompromittierte Zugangsdaten inzwischen dauerhafter Zustand im Internet

Für Sicherheitsteams laute die zentrale Erkenntnis daher nicht einfach „Passwörter ändern!“. Vielmehr geht es darum anzuerkennen, dass kompromittierte Zugangsdaten inzwischen ein dauerhafter Zustand im Internet sind.

• Sicherheitskontrollen müssten davon ausgehen, dass Passwörter durchsickern, Endgeräte infiziert werden und Angreifer mit gültigen Anmeldedaten auftauchen.

Barneys Fazit: „Die Frage ist nicht mehr, wie sich jeder Diebstahl verhindern lässt, sondern wie wirksam der Zugriff begrenzt wird.“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security: Keeper Security transformiert Cybersicherheit für Menschen und Organisationen auf der ganzen Welt…

KEEPER
Keeper Security Author Shane Barney

SPIEGEL Netzwelt, 24.01.2026
Massives Datenleck Fast 150 Millionen Passwörter stehen frei zugänglich im Internet / Ein Sicherheitsexperte hat auf einem Server eine riesige Datenbank mit gestohlenen Passwörtern entdeckt. Betroffen sind unter anderem Konten von Gmail, iCloud, Facebook, Netflix und OnlyFans.

NDTV WORLD, 24.01.2026
149 Million Passwords For Gmail, Facebook, And Netflix Leaked: Report / The publicly exposed data includes 48 million accounts on Gmail, 4 million on Yahoo, 17 million on Facebook, and 6.5 million on Instagram.

WIRED, Lily Hay Newman, 23.01.2026
149 Million Usernames and Passwords Exposed by Unsecured Database / This “dream wish list for criminals” includes millions of Gmail, Facebook, banking logins, and more. The researcher who discovered it suspects they were collected using infostealing malware.