Ein Sicherheitsforscher hat eine ungeschützte Datenbank mit 149.404.754 eindeutigen Logins und Passwörtern entdeckt, die frei über das Internet abrufbar war. Die rund 96 GB umfassende Sammlung (Infostealer-Datenbank) enthielt Klartext-Zugangsdaten zu E-Mail-Konten, Social-Media-Plattformen, Finanzdiensten, Streaming-Angeboten sowie staatlichen Systemen aus mehreren Ländern. Die Datenbank wurde nach einer Responsible-Disclosure-Meldung schließlich offline genommen – jedoch erst nach mehreren Wochen.

Zugangsdaten aus aller Welt und nahezu allen Lebensbereichen

Die Datensammlung enthielt Logins von Opfern aus zahlreichen Ländern und deckte eine enorme Bandbreite an Online-Diensten ab. Dazu gehörten Konten von E-Mail-Anbietern, sozialen Netzwerken, Streaming-Plattformen, Dating-Apps, Finanz- und Krypto-Diensten sowie Online-Banking- und Kreditkarten-Zugänge. Auch Accounts von Plattformen wie Netflix, TikTok, Instagram, Facebook, OnlyFans oder Binance waren betroffen.

Besonders kritisch war der Fund von Zugangsdaten mit .gov-Domains aus verschiedenen Staaten. Auch wenn nicht jeder dieser Zugänge direkten Zugriff auf sensible Systeme ermöglicht, könnten solche Daten für gezielte Phishing-Angriffe, Identitätsmissbrauch oder als Einstiegspunkt in staatliche Netzwerke missbraucht werden – mit potenziellen Risiken für öffentliche Sicherheit und nationale Interessen.

Infostealer-Malware als primäre Quelle

Nach Einschätzung des Sicherheitsforschers, Jeremiah Fowler, der die ungeschützte Datenbank entdeckt hat, stammen die Daten aus sogenannter Infostealer- und Keylogger-Malware. Diese Schadprogramme infizieren unbemerkt Geräte, zeichnen Tastatureingaben auf oder greifen gespeicherte Zugangsdaten, Cookies und Sitzungsinformationen ab. Auffällig war die professionelle Struktur der Datenbank: Jeder Datensatz war eindeutig gekennzeichnet und systematisch organisiert, sodass sich die Informationen effizient durchsuchen ließen.

Die Datenbank wuchs sogar noch weiter, während Fowler versuchte, den Hostinganbieter zu informieren – ein Hinweis darauf, dass kontinuierlich neue Daten eingespeist wurden.

Neben Benutzername und Passwort waren häufig auch die konkreten Login-URLs gespeichert – ein Detail, das die Daten besonders wertvoll für automatisierte Angriffe macht. Die Datensätze waren systematisch indexiert, eindeutig gehasht und nach einem reversierten Hostnamen-Schema organisiert, was auf eine skalierbare, professionelle Datenerfassung hindeutet.

Breite Angriffsfläche über nahezu alle Sektoren hinweg

Die kompromittierten Zugangsdaten umfassten unter anderem:

• E-Mail-Dienste (u. a. Gmail, Outlook, Yahoo, iCloud, .edu)
• Soziale Netzwerke (Facebook, Instagram, TikTok, X)
• Streaming- und Entertainment-Plattformen (Netflix, Disney+, HBO Max)
• Finanz- und Krypto-Dienste (Banking, Kreditkarten, Binance)
• Erwachsenen- und Creator-Plattformen (OnlyFans)

Besonders kritisch ist der Fund zahlreicher .gov-Zugangsdaten aus unterschiedlichen Staaten. Auch wenn diese nicht zwangsläufig administrativen Zugriff erlauben, stellen sie ein erhebliches Risiko für Spear-Phishing, Identitätsmissbrauch und potenzielle Initial-Access-Szenarien in Regierungsnetzen dar.

Hohes Missbrauchspotenzial für automatisierte Angriffe

Die Kombination aus E-Mail-Adresse, Passwort und Ziel-URL eignet sich ideal für:

• Credential-Stuffing-Kampagnen
• Account Takeover (ATO)
• Business Email Compromise (BEC)
• gezielte Phishing- und Social-Engineering-Angriffe

Da viele Nutzer Passwörter mehrfach verwenden, können einzelne kompromittierte Zugangsdaten kaskadierende Folgeangriffe auf Unternehmens-, Cloud- oder VPN-Zugänge ermöglichen.

Operative Schwächen und fehlende Transparenz: Abschaltung erst nach mehreren Wochen

Obwohl der Fund gemeldet wurde, dauerte es nahezu einen Monat, bis der Hostinganbieter den Zugriff unterband. Verantwortlichkeiten waren aufgrund einer fragmentierten Hosting-Struktur mit Subunternehmen zunächst unklar. Bis heute ist nicht bekannt, wer die Datenbank betrieb, wie lange sie öffentlich zugänglich war oder ob sie bereits durch Dritte exfiltriert (kopiert) wurde. Wer die Daten gesammelt oder genutzt hat, ist bis heute unklar.

Der Fall zeigt erneut, dass fehlkonfigurierte Cloud-Services ein zentrales Risiko darstellen – nicht nur für Unternehmen, sondern auch innerhalb krimineller Infrastrukturen selbst.

Relevanz für Unternehmen und Sicherheitsverantwortliche

Für IT- und Security-Teams unterstreicht der Vorfall mehrere zentrale Punkte:

• Infostealer-Malware ist derzeit einer der wichtigsten Initial-Access-Vektoren
• Passwortbasierte Authentifizierung allein ist nicht mehr ausreichend
• Antivirenlösungen, EDR/XDR, regelmäßige Patchzyklen und Monitoring sind essenziell
• Multi-Faktor-Authentifizierung muss überall verpflichtend sein, insbesondere für E-Mail-, Admin- und Remote-Zugänge
• Kompromittierte Credentials sollten als wahrscheinliche Vorstufe zu Ransomware- und APT-Angriffen betrachtet werden

Die entdeckte Infostealer-Datenbank ist kein Einzelfall, sondern symptomatisch für die Industrialisierung des Credential-Diebstahls. Niedrige Einstiegskosten, hohe Automatisierung und mangelnde Grundsicherheit auf Endgeräten machen Zugangsdaten zu einer der wichtigsten Währungen im Cybercrime-Ökosystem. Für Organisationen bedeutet das: Zero Trust, starke Authentifizierung und Endpoint-Sicherheit sind keine Option mehr, sondern Pflicht.