Cybersecurity-Experte Troy Hunt hat den bislang umfangreichsten Datensatz in seiner Plattform Have I Been Pwned (HIBP) verarbeitet: knapp zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter aus sogenannten Credential-Stuffing-Listen. 625 Millionen der Passwörter waren zuvor völlig unbekannt.
Die Daten stammen von der Threat-Intelligence-Plattform Synthient und unterscheiden sich grundlegend von den kürzlich verarbeiteten Stealer-Logs. Während Stealer-Logs durch Malware auf infizierten Rechnern entstehen, stammen Credential-Stuffing-Listen aus verschiedenen Datenlecks. Kriminelle bündeln diese Informationen und nutzen sie, um sich in fremde Accounts einzuloggen, oft erfolgreich, da viele Nutzer identische Passwörter für mehrere Dienste verwenden.
Hunt verifizierte die Datenqualität durch Stichproben bei HIBP-Abonnenten. Die Ergebnisse waren ernüchternd: Viele der gefundenen Passwörter wurden noch aktiv genutzt, obwohl sie teilweise über zehn Jahre alt waren. Ein Nutzer bestätigte beispielsweise: „Das ist ein aktuelleres Passwort“ und änderte daraufhin umgehend alle kritischen Zugänge.
Die technische Verarbeitung stellte Hunt vor erhebliche Herausforderungen. Der neue Datensatz ist dreimal größer als der bisher umfangreichste Breach in HIBP. Zwei Wochen lang lief die Azure-SQL-Hyperscale-Infrastruktur mit 80 Kernen auf Hochtouren. Besonders problematisch war die Benachrichtigung von 2,9 Millionen betroffenen HIBP-Abonnenten, da massive E-Mail-Versendungen schnell auf Spam-Listen landen.
Hunt betont ausdrücklich: Dies ist kein Gmail-Hack. Zwar sind 394 Millionen Gmail-Adressen enthalten, doch stammen diese aus 32 Millionen verschiedenen E-Mail-Domains. 80 Prozent der Daten haben nichts mit Gmail zu tun.
Die Passwörter sind nun über den Dienst Pwned Passwords durchsuchbar, ohne Verknüpfung zu E-Mail-Adressen. Hunt empfiehlt, einen Passwort-Manager zu nutzen und auf Zwei-Faktor-Authentifizierung zu setzen.