Forscher finden 24 Milliarden gestohlene Zugangsdaten in einem 8,3 TB großen Infostealer-Dump, der offen im Internet lag

Forscher von Cybernews haben entdeckt, was sie als einen der größten jemals gefundenen Credential-Dumps bezeichnen: einen ungesicherten Elasticsearch-Cluster mit 24 Milliarden Datensätzen, die insgesamt mehr als 8,3 Terabyte an Daten ausmachen. Die Sammlung wurde am 12. Juni 2026 gefunden, und die Datenbank wurde bis zum 15. Juni offline genommen oder gesichert. Obwohl das unmittelbare Expositionsfenster geschlossen ist, sind die Daten selbst – zusammengestellt aus Infostealer-Malware-Logs, Telegram-Kanälen und vorhandenen Breach-Kompilationen – überall dort im Umlauf, wo sie vor der Entdeckung geteilt wurden.

Der Umfang stellt diesen Leak in eine eigene Kategorie. Die RockYou2021-Kompilation von 2021, die weithin als die größte jemals veröffentlichte Credential-Liste zitiert wird, enthielt 8,4 Milliarden Datensätze. Die RockYou2024-Veröffentlichung von 2024 erweiterte dies auf fast 10 Milliarden. Mit 24 Milliarden Datensätzen ist diese Sammlung mehr als doppelt so groß wie jede dieser Sammlungen, und die Zusammensetzung ist wichtig: Im Gegensatz zu älteren Kompilationen, die größtenteils aus recycelten Daten bestehen, stammt ein erheblicher Teil dieses Dumps aus frischen Infostealer-Logs, also kürzlich gestohlenen Zugangsdaten, die noch nicht weitgehend rotiert wurden.

Was Infostealer-Logs sind und warum sie schlimmer sind als Datenbank-Dumps

Traditionelle Breach-Datenbanken enthalten Zugangsdaten, die gestohlen wurden, wenn ein bestimmter Dienst kompromittiert wird; sie enthalten tendenziell gehashte Passwörter, die geknackt werden müssen, und sind oft Jahre alt, wenn sie in Dumps auftauchen. Infostealer-Logs sind anders. Sie werden von Malware erzeugt, die auf infizierten Geräten läuft: Software, die im Browser gespeicherte Passwörter, Autofill-Zugangsdaten und Session-Cookies im Klartext erfasst, sobald sie verwendet werden.

Das bedeutet, dass Infostealer-Logs funktionierende Zugangsdaten zum Zeitpunkt der Infektion enthalten. Sie umgehen die Notwendigkeit, Hashes zu knacken. Sie enthalten oft die zugehörige Login-URL, sodass es trivial ist, ein Passwort mit dem Dienst zu verknüpfen, den es freischaltet. Und weil sie Zugangsdaten aus dem Browserspeicher des infizierten Geräts abziehen, erfassen sie oft Passwörter, die Benutzer seit Jahren nicht geändert haben – diejenigen, die in ihrem Passwort-Manager oder der Browser-Autofill-Funktion liegen und an die sie nicht mehr denken.

Die 24 Milliarden Datensätze in dieser Sammlung wurden aus mindestens 36 verschiedenen Quellen zusammengetragen: verschiedenen Telegram-Kanälen, in denen Infostealer-Betreiber Logs verkaufen, vorhandenen Breach-Kompilationen und Daten, die laut Forschern direkt von aktiven Servern exportiert zu sein scheinen, was darauf hindeutet, dass ein Teil der Daten sehr kürzlich aktiv war.

Wer es gefunden hat und was passiert ist

Das Forschungsteam von Cybernews identifizierte die exponierte Datenbank am 12. Juni im Rahmen einer laufenden Suche nach öffentlich exponierten Cloud-Speicher- und Datenbankinstanzen. Der Cluster war ohne Authentifizierung zugänglich – eine Fehlkonfiguration, die alle 8,3 Terabyte für jeden lesbar machte, der die IP-Adresse fand. Der Eigentümer der Datenbank wurde nicht öffentlich identifiziert. Die Forscher spekulieren, dass die Daten entweder einem Bedrohungsakteur gehören könnten, der sie als operative Credential-Datenbank nutzt, oder einem Sicherheitsunternehmen, das Breach-Daten für Überwachungsdienste aggregiert – obwohl die Klartext-Exposition und das Fehlen jeglicher offensichtlicher Zugangskontrollen die Theorie des Sicherheitsunternehmens weniger plausibel machen.

Die Datenbank wurde bis zum 15. Juni, drei Tage nach der Entdeckung, gesichert oder offline genommen. Das Fenster der ungeschützten Exposition ist unbekannt – es könnten Tage oder Monate gewesen sein.

Das Credential-Stuffing-Risiko

Das praktische Risiko dieser Art von Leak ist Credential Stuffing: automatisierte Tools, die Benutzername-Passwort-Paare aus Breach-Datenbanken nehmen und sie in großem Maßstab gegen Live-Dienste testen. Dienste ohne Ratenbegrenzung, IP-Sperrung oder obligatorische Multi-Faktor-Authentifizierung sind besonders gefährdet.

Sicherheitsforscher und Anbieter, darunter Malwarebytes und TechRadar, die beide über die Offenlegung von Cybernews berichteten, betonen, dass die am stärksten gefährdeten Benutzer diejenigen sind, die Passwörter über mehrere Dienste hinweg wiederverwenden – was laut den meisten Umfragen die Mehrheit der Benutzer ist. Ein Credential in diesem Dump, das mit dem Bankpasswort, E-Mail-Passwort oder VPN-Passwort eines Benutzers übereinstimmt, stellt ein sofortiges Account-Übernahmerisiko dar, unabhängig davon, wo das Credential ursprünglich gestohlen wurde.

Was zu tun ist

Der Standardrat gilt und bleibt die richtige Antwort: Verwenden Sie einen Passwort-Manager, um für jeden Dienst eindeutige Passwörter zu generieren, aktivieren Sie die Multi-Faktor-Authentifizierung, wo immer verfügbar, und achten Sie auf Aktivitätswarnungen von Ihren E-Mail- und Finanzdienstleistern. Es wird erwartet, dass Dienste wie HaveIBeenPwned Credential-Daten dieser Größenordnung aufnehmen, sobald sie von Forschern bereitgestellt werden – es lohnt sich, in den kommenden Tagen Ihre E-Mail-Adresse dort zu überprüfen.

Für Sicherheitsteams in Organisationen: Dieser Dump sollte als Auslöser behandelt werden, um zu prüfen, ob irgendwelche Mitarbeiter-Zugangsdaten in öffentlich zugänglichen Breach-Datenbanken auftauchen, und um eine Passwortrotation für alle Übereinstimmungen durchzusetzen. Da die Daten aus Infostealer-Logs zusammengestellt wurden, sind Unternehmenszugangsdaten von Mitarbeitern mit infizierten persönlichen Geräten besonders gefährdet.