Riesiges Datenleck

Google, Apple: Milliarden Passwörter offen im Netz

Cyberkriminelle haben 16 Milliarden Passwörter gestohlen. Betroffen sind alle großen Onlinedienste wie Google, Apple, Facebook und Instagram, aber auch Banken und Regierungsportale. Die Daten enthalten jeweils die Webseite-Adresse, den Nutzernamen und das Passwort.

Ein kleiner Datensatz mit 184 Millionen Einträgen war bereits seit Mai bekannt. Das Milliarden-Leak entdeckte das Team von Cybernews jetzt in einer Untersuchung, die seit Anfang 2025 läuft. Insgesamt fanden sie 30 verschiedene Datensätze, die alle paar Wochen mit Logins erweitert wurden und teilweise nur vorübergehend online waren. Aufgrund des Umfangs sei es schwierig, die genaue Zahl der Betroffenen zu bestimmen, teilten die Forscherinnen und Forscher mit. Zudem gebe es Überschneidungen.

Ein Teil der Nutzerinnen und Nutzer ist portugiesischsprachig, ein Teil aus Russland – der Großteil wurde aber noch nicht identifiziert.

„Am besten Passwörter ändern“
Laut einer schnellen Einschätzung von IT-Experte Helmut Januschka handelt es sich für die betroffenen Firmen „um ein Armageddon“. Einen Leak in dieser Größe habe es in der Geschichte des Internets nicht gegeben. Januschka, seit mehr als 20 Jahren bei Krone Multimedia in der IT-Entwicklung tätig, rät zur Vorsicht: „Am besten sicherheitshalber Passwörter ändern und möglichst auf eine Zwei-Faktor-Authentifizierung zurückgreifen.“

Betroffen von dem Leak sind große Onlinedienste, aber auch Banken und Regierungsportale (Symbolbild).(Bild: Krone KREATIV/master1305 - stock.adobe.com)

Cybernews: „Waffenfähige Geheimdienstinformationen“
Cybernews spricht unterdessen von einem „Bauplan für Massenangriffe“. Cyberkriminelle hätten jetzt einen beispiellosen Zugriff auf persönliche Anmeldedaten, die nicht nur für Kontoübernahmen, sondern auch für Identitätsdiebstahl und gezieltes Phishing verwendet werden könnten. Besonders besorgniserregend seien die Struktur und Aktualität der Datensätze, da es sich nicht nur um alte Sicherheitsverletzungen handle. Vielmehr seien es „frische, waffenfähige Geheimdienstinformationen“.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) soll Online-Konten sicherer machen. Dabei muss der Kontoinhaber zusätzlich zum Passwort eine zweite Authentifizierungsmethode verwenden – Textnachricht, Authentifizierungs-App oder digitaler Sicherheitsschlüssel. Im Google-Konto ist die 2FA in den Einstellungen zu finden.

Die Seite „bleepingcomputer“ beruhigt jedoch. Es handle sich nicht um einen neuen Datenverstoß, sondern um die Zusammenstellung bereits früher geleakter Zugangsdaten. Die Daten kursieren demnach seit Jahren im Netz. „Und wenn sich die Anwender an die üblichen bewährten Verfahren gehalten haben, können sie relativ entspannt sein“, sagte Sicherheitsexperte Thomas Boele. Am frühen Freitagnachmittag war unklar, wer hinter der neuen Sammlung steckt.

So können Sie sich schützen
Um sich vor Passwort-Leaks zu schützen, empfehlen Fachleute, regelmäßig Passwörter zu ändern – vor allem für Dienste wie E-Mail, E-Banking und soziale Netzwerke. Eine Hilfe bei der Erinnerung können Passwort-Manager sein. Eine weitere Empfehlung ist die Zwei-Faktor-Authentifizierung, mit der zusätzlich zu dem Passwort ein weiterer Bestätigungsschritt nötig ist. Das erhöhe die Sicherheit der Konten, heißt es.

Große Tech-Konzerne wie Apple, Google und Microsoft setzen bereits auf sogenannte Passkeys, wo der Fingerabdruck oder Gesichts-Scan den Login ersetzt. Diese Methoden verwenden keine übertragbaren Daten mehr und sollen damit praktisch nicht zu knacken sein.