Cybersicherheitsforscher von Synthient haben eine Sammlung von 183 Millionen E-Mail-Passwörtern entdeckt, darunter Millionen von Gmail-Konten, die über Infostealer-Malware-Kampagnen offengelegt wurden. Die Daten erschienen am 21. Oktober 2025 aufgrund der Überwachung unterirdischer Kanäle in der Datenbank „Have I Been Pwned“ und stellten damit einen der größten Ausweislecks des Jahres dar. Google hat den Vorfall öffentlich angesprochen und Behauptungen einer direkten Gmail-Sicherheitsverletzung zurückgewiesen. In einer Erklärung in den sozialen Medien erklärte das Unternehmen, dass „Berichte über eine ‚Gmail-Sicherheitsverletzung, die Millionen von Nutzern betrifft‘ falsch sind.“ Beamte betonten, dass die kompromittierten Zugangsdaten auf Malware-Infektionen auf den Geräten einzelner Benutzer zurückzuführen seien und nicht auf einer Schwachstelle in der Serverinfrastruktur von Gmail. Diese Unterscheidung verdeutlicht, dass die Daten durch anhaltende Bedrohungen erfasst wurden, die auf Endbenutzersysteme abzielten, und nicht durch zentralisierte Dienstausfälle. Der Datensatz stammt aus einer fast einjährigen intensiven Überwachung durch Synthient, ein Cybersicherheitsunternehmen, das sich auf die Verfolgung von Infostealer-Aktivitäten konzentriert. Forscher beobachteten, dass Zugangsdaten über Plattformen wie Telegram, verschiedene Social-Media-Seiten und Dark-Web-Foren geteilt und verkauft wurden. Diese unterirdischen Netzwerke dienen als Knotenpunkte, an denen Cyberkriminelle weltweit gestohlene Informationen austauschen, die sie von infizierten Computern erhalten haben. Troy Hunt, der Schöpfer und Betreuer des Have I Been Pwned-Dienstes, analysiert die Einreichung und bestätigte deren Umfang und stellte fest, dass sie 3,5 Terabyte an Daten umfasst, die insgesamt 23 Milliarden Datensätze umfassen. Um den Inhalt zu authentifizieren, wandte sich Hunt an die im Leak aufgeführten Benutzer. Ein betroffener Abonnent antwortete bejahend und gab an, dass die durchgesickerten Informationen mit „einem korrekten Passwort für mein Gmail-Konto“ übereinstimmten. Bei diesem Verifizierungsprozess wurden Details mit bekannten Verstößen und Benutzerberichten abgeglichen, um die Legitimität des Datensatzes sicherzustellen. Die Datensätze selbst bestehen aus spezifischen Elementen, die während Benutzerinteraktionen erfasst werden: Website-URLs, auf denen Anmeldungen erfolgten, zugehörige E-Mail-Adressen und die entsprechenden auf diesen Websites eingegebenen Passwörter. Alle diese Informationen wurden automatisch von Geräten erfasst, die bereits durch Malware gefährdet waren, häufig bei routinemäßigen Online-Aktivitäten wie dem Abrufen von E-Mails oder dem Zugriff auf Bankportale. Die Analyse des Datensatzes zeigt Muster im Expositionsverlauf. Genau 91 Prozent der Zugangsdaten waren bei früheren Datenverstößen aufgetaucht, die an anderer Stelle dokumentiert wurden. Im Gegensatz dazu handelte es sich bei etwa 16,4 Millionen E-Mail-Adressen um völlig neue Einträge, die noch nie zuvor in Aufzeichnungen über Verstöße identifiziert wurden. Die Einbeziehung aktuell aktiver Passwörter erhöht das Potenzial für Credential-Stuffing-Angriffe, bei denen Angreifer diese gültigen Kombinationen verwenden, um einen unbefugten Zugriff auf zahlreiche Plattformen zu versuchen, und dabei die Wiederverwendung von Anmeldedaten über verschiedene Dienste hinweg ausnutzen. Infostealer-Malware hat sich zu einem großen Bedrohungsvektor entwickelt. Forscher verzeichneten allein in den ersten sechs Monaten des Jahres 2025 einen Anstieg der gestohlenen Zugangsdaten um 800 Prozent. Diese Programme agieren heimlich auf infizierten Systemen und extrahieren systematisch vertrauliche Daten, einschließlich Anmeldeinformationen, gespeicherte Browserinformationen und aktive Sitzungstoken, ohne offensichtliche Warnungen auszulösen. Benjamin Brundage, ein Forscher bei Synthient, erläuterte detailliert, wie ihre Überwachungstools in Zeiten erhöhter Malware-Aktivität Spitzenwerte von bis zu 600 Millionen gestohlenen Zugangsdaten erfassten, die an einem einzigen Tag verarbeitet wurden. Die Malware verbreitet sich hauptsächlich über betrügerische Kanäle. Zu den gängigen Vektoren gehören Phishing-E-Mails, die Empfänger dazu verleiten, bösartige Anhänge oder Links zu öffnen, Downloads scheinbar legitimer Software mit schädlichem Code und Browsererweiterungen, die manipuliert wurden, um Hintertüren einzubauen. In vielen Fällen bleiben Infektionen über längere Zeiträume unentdeckt, was zu einer längeren Datenexfiltration führt, während Benutzer ihre Geräte weiterhin normal nutzen. Als Reaktion darauf empfiehlt Google konkrete Schutzmaßnahmen für gefährdete Nutzer. Durch die Aktivierung der zweistufigen Verifizierung wird über Passwörter hinaus eine zusätzliche Sicherheitsebene hinzugefügt, die eine zweite Form der Authentifizierung wie einen mobilen Code erfordert. Das Unternehmen bewirbt außerdem Passkeys als robuste Alternative zu herkömmlichen Passwörtern und nutzt kryptografische Standards für einen verbesserten Schutz vor Phishing und Diebstahl. Einzelpersonen können überprüfen, ob ihre E-Mail-Adressen oder Anmeldeinformationen in diesem Leck enthalten sind, indem sie auf der Website „Have I Been Pwned“ suchen. Diejenigen, die Übereinstimmungen finden, sollten ihre Passwörter umgehend auf eindeutige, sichere Versionen aktualisieren und die Multi-Faktor-Authentifizierung für alle relevanten Konten aktivieren, um weitere Risiken zu mindern.
