Credential-Leak 149 Millionen Passwörter wurden laut mehreren Berichten im Januar 2026 in einer ungesicherten, öffentlich erreichbaren Datenbank entdeckt. Der Vorfall erhöht weltweit das Risiko für Credential Stuffing, Account-Übernahmen und Identitätsmissbrauch.
Credential-Leak 149 Millionen Passwörter: Faktenlage im Januar 2026
Ausgangspunkt der Berichterstattung ist ein Bericht des Security-Researchers Jeremiah Fowler, der am 23. Januar 2026 veröffentlicht wurde. Darin wird eine frei erreichbare Datenbank beschrieben, die ohne Passwortschutz und ohne Verschlüsselung im Internet zugänglich gewesen sein soll. Der Bericht wurde über ExpressVPN publiziert und anschließend von etablierten Redaktionen aufgegriffen, unter anderem durch WIRED sowie The Economic Times.
Genannt wird eine Größenordnung von 149.404.754 eindeutigen Kombinationen aus Login und Passwort sowie ein Datenvolumen von rund 96 GB. In Stichproben sollen E-Mail-Adressen, Benutzernamen, Passwörter sowie zugehörige Login- oder Autorisierungs-URLs enthalten gewesen sein. Beispielhaft werden Einträge genannt, die zu weit verbreiteten Diensten passen, darunter Gmail, Facebook, Instagram und Netflix.
Wichtig ist die saubere Abgrenzung in der Sekundärberichterstattung. Ein Credential-Leak dieser Art bedeutet nicht automatisch, dass 149 Millionen aktive Konten kompromittiert sind. Solche Datensammlungen können veraltete Passwörter, Dopplungen oder bereits ungültige Kombinationen enthalten. Für Angreifer reichen jedoch bereits Teilmengen, wenn ein relevanter Anteil der Credentials noch funktioniert.
Warum der Credential-Leak eher zu Infostealer-Malware passt
Die vorhandenen Informationen liefern keinen belastbaren Nachweis für einen zentralen Hack bei einem einzelnen Anbieter. Plausibler ist ein Sammeln der Credentials über kompromittierte Endgeräte durch Infostealer-Malware. Solche Malware-Familien greifen je nach Variante Daten aus Browser-Speichern ab, stehlen Session-Artefakte wie Cookies oder lesen Zwischenablagen aus. In einzelnen Varianten kommen zusätzlich Techniken wie Keylogging vor. Die so entstehenden Datenbestände werden häufig gebündelt, indexiert und später für weitere Angriffe genutzt.
Welche Risiken aus „Credential-Leak 149 Millionen Passwörter“ konkret entstehen
Der operative Schaden entsteht typischerweise nicht durch die Veröffentlichung selbst, sondern durch Folgeaktivitäten. Credential Stuffing ist dabei die häufigste und skalierbarste Methode. Bekannte Kombinationen werden automatisiert auf vielen Diensten getestet, bis erfolgreiche Logins gefunden werden. Je besser die Datensätze strukturiert sind, desto leichter lassen sich Ziele priorisieren, etwa nach Dienst, Region oder Kontotyp.
- Credential Stuffing trifft vor allem Nutzer, die Passwörter wiederverwenden oder nur geringfügig abwandeln.
- E-Mail-Konten sind besonders kritisch, weil sie als Reset-Kanal für weitere Dienste dienen.
- Übernommene Konten werden häufig für Abo- und Zahlungsbetrug, Erpressungsversuche oder Phishing aus vertrauenswürdigen Profilen genutzt.
- Gezieltes Phishing wird glaubwürdiger, wenn Login, Dienstbezug und typische Passwortmuster bereits bekannt sind.
Was Betroffene nach dem Credential-Leak sofort prüfen sollten
Ob ein konkretes Konto in der Datenbank enthalten war, lässt sich aus der öffentlichen Berichterstattung meist nicht sicher ableiten. Dennoch gibt es verlässliche Indikatoren für Missbrauch nach Credential Stuffing. Dazu gehören Login-Benachrichtigungen aus ungewöhnlichen Ländern, neue Geräte in den Sicherheits- oder Sitzungsübersichten, unerklärliche Passwort-Reset-Mails oder Änderungen an Wiederherstellungsoptionen.
Wenn du solche Hinweise siehst, ist die Reihenfolge entscheidend. Bei Verdacht auf Infostealer sollte zuerst das Endgerät bereinigt werden, bevor neue Passwörter gesetzt werden. Andernfalls kann ein Angreifer die neuen Credentials unmittelbar erneut abgreifen.
Schutzmaßnahmen nach „Credential-Leak 149 Millionen Passwörter“
- Endgeräte und Browser bereinigen, Updates einspielen und verdächtige Erweiterungen entfernen.
- Passwörter überall dort ändern, wo Wiederverwendung wahrscheinlich ist, beginnend beim E-Mail-Konto und bei Zahlungsdiensten.
- Mehrfaktor-Authentisierung aktivieren, bevorzugt per Authenticator-App oder Hardware-Token. Empfehlungen zur sicheren Authentisierung beschreibt ENISA.
- Aktive Sitzungen beenden, unbekannte Geräte abmelden und Wiederherstellungsdaten wie Zweitadresse und Telefonnummer kontrollieren.
- Einen Passwortmanager einsetzen und künftig ausschließlich einzigartige, lange Zufallspasswörter verwenden. Ergänzend können Passkeys die Angriffsfläche für Credential Stuffing deutlich reduzieren.
Was Unternehmen zusätzlich tun sollten
Ein Credential-Leak außerhalb der eigenen Plattform wird in den eigenen Systemen sichtbar, wenn automatisierte Login-Versuche ansteigen. Resilienz entsteht daher weniger durch Reaktion auf die Schlagzeile, sondern durch robuste Kontrollen gegen Bot-Traffic und Kontoübernahmen.
- Login-Anomalien priorisiert detektieren, insbesondere Passwort-Spraying, Credential Stuffing, neue Geräte und ungewöhnliche Geolocations.
- MFA konsequent erzwingen, speziell für privilegierte Konten, SSO, VPN und administrative Oberflächen.
- Serverseitig schwache oder kompromittierte Passwörter blockieren und Passwortwechsel an klare Kompromittierungsindikatoren koppeln.
- Infostealer als Initial-Access-Vektor in SOC-Use-Cases abdecken, inklusive EDR-Telemetrie und Detektion von Cookie-Diebstahl.
- Dark-Web überwachen und Threat Itelligence der aktuellen Bedrohungslage anpassen.
