2025 Credential Leak

Irgendwann zwischen dem 18.06.2025 und dem 20.06.2025 erreichten mich Meldungen über einen massiven Leak, der Zugangsdaten zu nahezu allen größeren Onlinediensten beinhalten soll. Von bis zu 18 Milliarden Zugangsdaten war die Rede, die ursprüngliche Meldung geht vermutlich auf Cybernews zurück. Doch was ist dran am Mega-Leak, was wissen wir und was für Konsequenzen müssen wir nun ziehen?

Spurensuche im Internet

Cybernews ist in Bezug auf die schlagzeilenträchtige Berichterstattung über große Datenleaks keine Unbekannte: Bereits Anfangs 2024 betitelte die Seite einen Datensatz mit 26 Milliarden Einträgen als “Mother of all Breaches”. Was auffällt: Bereits vor anderthalb Jahren waren also Sammlungen von Zugangsdaten (die mitnichten “Breaches”, also aus Einbrüchen in Computernetzwerke erbeutete Daten sind, sondern simple “Leaks”) öffentlich zugänglich, die alleine von der Datenmenge her die aktuelle Datensammlung in den Schatten stellen dürften. Entweder hat man also innerhalb der Redaktion ein relativ schlechtes Gedächtnis oder der aktuelle Leak unterscheidet sich doch deutlich von den bisherigen. Und im Artikel ist ja in der Tat die Rede davon, dass die Daten frisch und nicht einfach “recycled” sind (“The data is recent, not merely recycled from old breaches”).

Spannenderweise berichten die Autoren auch, dass nur sehr kurz Zugriff auf die Daten bestand, bevor sie wieder aus dem öffentlich zugänglichen Netz verschwanden. Das lässt darauf schließen, dass es sich wohl nicht um Daten handelt, die beispielsweise über Bittorrent verbreitet wurden, sondern höchstwahrscheinlich um offen konfigurierte Weboberflächen auf Datenbanken wie ElasticSearch-Instanzen, über die man Einblick in die dort abgelegten Daten nehmen kann, ohne sie direkt komplett herunterzuladenn. Viel mehr als die Behauptung, es handele sich um viele neue Daten, liefern die Autoren jedenfalls nicht; es gibt keine Screenshots, keine teilanonymisierten Datenauszüge, nur die reißerische Überschrift und die Versicherung, man habe das ganz große Ding entdeckt.

Heise sieht es am Vormittag des 20.06. ähnlich und schlüsselt auf, wie schnell die 16 Milliarden Einträge durch das Entfernen mehrfacher oder anderweitig redundanter Einträge auf ein überschaubares Maß zusammenschrumpft. Handfeste Beweise für die abenteuerlichen Behauptungen um den Mega-Leak gibt es aktuell jedenfalls keine.

Viel heiße Luft, und nun?

Auch wenn die Sehnsucht nach einer großen Überschrift auch dieses mal sicher wieder die Mutter des Gedankens war, handelt es sich natürlich immer noch über eine große Menge an teilweise validen Zugangsdaten. Der Verweis auf Infostealer, also Schadsoftware, die auf das eigene Gerät geladen wurde und dort fleißig alle Zugangsdaten mitliest und an unbekannte Dritte ausleitet, ist zwar vermutlich in großen Teilen irreführend, doch ein kleiner Rest Unsicherheit bleibt. Da die Daten aktuell wohl nur der “dunklen Seite” zur Verfügung stehen, wird die Allgemeinheit mit einem mulmigen Gefühl zurückgelassen, da keine Möglichkeit besteht, zu überprüfen, ob man nicht vielleicht doch betroffen ist - und auf welchen Seiten. Onlineservices wie Have I Been Pwned erfassen zwar inzwischen auch Infostealer-Daten, sofern diese veröffentlicht oder dem Betreiber anderweitig zugespielt werden, doch zum einen landen diese oft erst mit erheblicher Verzögerung in den Datenbanken und zum anderen umfasen die Informationen, die man nach der Registrierung der eigenen Mailadresse(n) dort nach einem Leak erhält, häufig nur die Mailadresse und mit etwas Glück die ersten par Zeichen des Passwortes - eine große Hilfe ist das bei dutzenden Webservices, bei denen man mit einer Mailadresse angemeldet ist, nicht. Wer überall das gleiche Passwort verwendet hat hier sowieso verloren, aber auch Nutzer von Passwortmanagern schauen in die Röhre: Versuche mal, Dich durch hunderte Einträge in KeePass, Bitwarden & Co. zu klicken, um das eine zufällig generierte Passwort zu finden, das mit den angezeigten Zeichen beginnt…

Wer nicht gerade eine hohe zwei- bis dreistellige Anzahl an Webdiensten verwendet, hat es relativ leicht. Einmal alle Passwörter neu auswürfeln lassen dauert ggf. nicht so lange, dass man dafür Urlaub nehmen müsste. Doch die, die wie ich viel zu viele Login-Daten haben, überlegen sich bei solchen Leaks zweimal, ob sie nun überall alle Passwörter austauschen. Mit PassKeys oder MFA wäre das Risiko relativ gering, dass erbeutete Zugangsdaten von Dritten genutzt werden und nahezu alle großen Anbieter bieten inzwischen auch entsprechende Absicherungen an. Die wenigsten erfordern die zusätzlichen Sicherheitsmechanismen jedoch, und beim Blick auf die kleineren Anbieter wird mir regelmäßig flau im Magen. 2FA/MfA oder PassKeys sind dort häufig ein Fremdwort, auch wenn die Implementierung in der Regel kein allzu großer Aufwand wäre.

Bleibt also zu hoffen, dass der aktuelle “epische” Leak wie üblich ganz viel heiße Luft, viel aufgewärmte Uraltdaten und nur wenig aktuelle Daten umfasst. Trotzdem sollte jede Veröffentlichung für jede Person, die das Internet nutzt, ein Warnschuss sein. Sichere, nicht mehrfach verwendete Passwörter und moderne Mechanismen wie MFA und/oder PassKeys sollten überall, wo es geht, eingesetzt werden. Immer.