Massives Datenleck enthüllt fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter

November 10, 2025

James Whitmore

Das riesige Credential-Stuffing-Leak mit 2 Mrd. E-Mail-Adressen ist auf HIBP. 625 Mio. Passwörter sind neu. Prüfe deinen Account sofort und ändere Passwörter.

Inhaltsübersicht

Primary Item (H2)Sub Item 1 (H3)Sub Item 2 (H4)
Sub Item 3 (H5)
Sub Item 4 (H6)

Ein beispielloses und gewaltiges Datenleck erschüttert die Internet-Sicherheit: Durch ein massives Credential-Stuffing-Leak sind fast zwei Milliarden einzigartige E-Mail-Adressen und 1,3 Milliarden Passwörter öffentlich zugänglich geworden. Der renommierte Sicherheitsforscher Troy Hunt hat diesen riesigen Datensatz auf seiner Plattform „Have I Been Pwned“ (HIBP) indexiert. Es handelt sich dabei um den größten Datensatz, den Hunts Projekt jemals verarbeitet hat. Besonders alarmierend ist die Tatsache, dass 625 Millionen der aufgefundenen Passwörter zuvor völlig unbekannt waren und somit erstmalig in den kompromittierten Listen auftauchten, berichtet Renewz mit Verweis auf die ursprüngliche Veröffentlichung von Focus.

Die betroffenen Informationen stammen von der Threat-Intelligence-Plattform Synthient. Sie unterscheiden sich grundlegend von sogenannten Stealer-Logs, die üblicherweise durch Schadsoftware auf infizierten Rechnern gesammelt werden. Stattdessen wurden hier Zugangsdaten aus einer Vielzahl unterschiedlicher, bereits bekannter Datenlecks zusammengeführt. Kriminelle nutzen solche konsolidierten Listen für automatisierte Angriffe, das sogenannte Credential Stuffing, bei dem versucht wird, sich in fremde Konten einzuloggen. Diese Methode ist häufig erfolgreich, da viele Nutzer die gleiche Kombination aus Benutzername und Passwort für verschiedene Online-Dienste verwenden.

Die Überprüfung der Datenqualität durch Stichproben bei HIBP-Nutzern durch Sicherheitsforscher Hunt lieferte erschreckende Ergebnisse: Viele der in der Liste aufgetauchten Passwörter waren trotz ihres Alters von teilweise über zehn Jahren noch aktiv in Gebrauch. Ein Nutzer bestätigte beispielsweise, dass ein derzeit verwendetes Passwort in dem Leak enthalten war, und änderte daraufhin umgehend alle seine kritischen Zugangsdaten. Die Passwörter können nun anonym über den Dienst Pwned Passwords durchsucht werden, ohne dass eine Verknüpfung zu den zugehörigen E-Mail-Adressen hergestellt werden kann.

Hunt betont ausdrücklich, dass es sich bei diesem Leak nicht um einen gezielten Hack von Google Mail (Gmail) oder eines anderen großen Anbieters handelt. Obwohl die Daten 394 Millionen Gmail-Adressen enthalten, stammen diese aus 32 Millionen verschiedenen Domains. Tatsächlich haben über 80 Prozent der gesamten Einträge keinen Bezug zu Gmail. Die Passwörter und E-Mail-Adressen wurden vielmehr über einen Zeitraum von Jahren aus einer Vielzahl von Quellen gesammelt und von Cyberkriminellen für automatisierte Anmeldeversuche gebündelt.

Bleiben Sie informiert! Lesen Sie auch: Warum meldet sich Alfons Schuhbeck jetzt wieder – und ausgerechnet mit einer Videobotschaft.

16 Milliarden Passwörter geleakt: Die größte Datenpanne der Geschichte betrifft Apple, Google & Co. – REnewz zeigt, wie Sie sich jetzt schützen müssen.

16 Milliarden Passwörter veröffentlicht – Experte warnt: „Eine Waffe für globale Massenhacks“