Rekord-Datenleck 2025: Zwei Milliarden E-Mail-Adressen und Passwörter im Netz – wie du prüfst, ob du betroffen bist

Ein neues, beispielloses Datenleck erschüttert das Internet: Fast zwei Milliarden einzigartige E-Mail-Adressen und 1,3 Milliarden Passwörter sind durch ein massives Credential-Stuffing-Leak öffentlich zugänglich geworden. Der Sicherheitsforscher Troy Hunt hat diese Daten in seiner Plattform „Have I Been Pwned“ (HIBP) indexiert – es handelt sich um den größten Datensatz, den das Projekt je verarbeitet hat. Besonders alarmierend: 625 Millionen der Passwörter waren bisher völlig unbekannt und tauchten erstmals in den Listen auf.

Die Daten stammen von der Threat-Intelligence-Plattform Synthient und unterscheiden sich grundlegend von den kürzlich aufgetauchten Stealer-Logs, die durch Schadsoftware auf infizierten Rechnern gesammelt werden. Stattdessen wurden hier Zugangsdaten aus verschiedenen, bereits bekannten Datenlecks gebündelt. Kriminelle nutzen solche Listen, um sich durch automatisierte Angriffe in fremde Konten einzuloggen – oft erfolgreich, weil viele Nutzer dasselbe Passwort für mehrere Dienste verwenden.

Hunt überprüfte die Datenqualität durch Stichproben bei HIBP-Nutzern. Die Ergebnisse waren erschreckend: Viele der gefundenen Passwörter wurden noch aktiv genutzt, obwohl einige über zehn Jahre alt waren. Ein Nutzer bestätigte beispielsweise, dass ein aktuell verwendetes Passwort in den Listen auftauchte – und änderte daraufhin umgehend alle kritischen Zugänge. Die Passwörter lassen sich nun über den Dienst Pwned Passwords anonym durchsuchen, ohne dass eine Verknüpfung zu den dazugehörigen E-Mail-Adressen hergestellt wird.

Was du jetzt tun solltest:

• Prüfe deine E-Mail-Adresse auf Have I Been Pwned, um zu sehen, ob deine Daten betroffen sind.
• Nutze einen Passwort-Manager, um starke, einzigartige Passwörter für jeden Dienst zu generieren.
• Aktiviere die Zwei-Faktor-Authentifizierung bei allen wichtigen Konten, um zusätzliche Sicherheit zu schaffen.
• Ändere sofort alle Passwörter, die in den Listen gefunden wurden – selbst wenn sie schon älter sind.

Hunt betont, dass es sich nicht um einen gezielten Hack von Gmail oder einem anderen großen Anbieter handelt. Zwar sind 394 Millionen Gmail-Adressen in den Daten enthalten, doch stammen diese aus 32 Millionen verschiedenen Domains. Über 80 Prozent der Einträge haben nichts mit Gmail zu tun. Die Daten wurden vielmehr aus einer Vielzahl von Quellen über Jahre hinweg zusammengetragen und von Cyberkriminellen für Credential-Stuffing-Angriffe genutzt.

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!