Eine ungeschützte Datenbank mit 149 Millionen Zugangsdaten wurde öffentlich gefunden und später abgeschaltet. Die Sammlung enthält Logins unter anderem für Social Media, Streaming, Gaming, E-Mail-Provider und Krypto-Dienste. Hackread und OhioSAP ordnen den Fund als umfangreiche Sammlung von Zugangsdaten ein, die für Account-Takeover und Credential-Stuffing-Angriffe interessant ist.
Wichtigste Punkte
TL;DR - die wichtigsten Schritte heute
- 1
Betroffenheit prüfen
Passwort-Wiederverwendung, Browser-Speicher, verdächtige Logins und neue Geräte prüfen.
- 2
Passwörter rotieren
Priorisiert für Admin-Konten, E-Mail, Identity Provider, VPN und zentrale Cloud-Dienste.
- 3
MFA erzwingen
MFA verbindlich machen und Step-up-Authentifizierung für sensible Aktionen nutzen.
- 4
Sessions und Tokens zurücksetzen
„Sign out everywhere“, Refresh-Tokens widerrufen und riskante Sessions beenden.
- 5
Endgeräte isolieren und scannen
Infostealer sind ein Endpoint-Problem; kompromittierte Geräte nicht nur als Passwortproblem behandeln.
Einordnung: Warum dieser Leak so gefährlich ist
Der kritische Punkt ist nicht nur die Menge, sondern die Art der Daten. Infostealer ziehen Credentials aus realen, oft aktuellen Browser- und App-Sessions. Damit ist das Risiko für Credential Stuffing, Account Takeover und Token Theft hoch, insbesondere wenn Passwörter wiederverwendet wurden oder MFA nicht konsequent aktiviert ist.
Viele Unternehmen bewerten solche Funde zu eng: „Es sind doch nur Consumer-Dienste.“ Praktisch stimmt das selten. Mitarbeitende nutzen private und berufliche Geräte, speichern Passwörter im Browser, verwenden ähnliche Passwortmuster oder bleiben über lange Sessions angemeldet. Genau dort wird aus einem Consumer-Leak ein Unternehmensrisiko.
Bin ich betroffen? Pragmatiker-Check für Unternehmen
Diese Checks sind schnell umsetzbar und liefern innerhalb weniger Stunden klare Signale:
- Reuse-Check: Gibt es Passwörter, die privat und beruflich identisch oder sehr ähnlich sind?
- IdP und E-Mail: Gibt es ungewöhnliche Logins, neue Geräte, neue Weiterleitungen oder neue Postfachregeln?
- Session-Anomalien: Gibt es viele neue Sessions, „impossible travel“ oder Refresh-Token-Spikes?
- Browser-Policy: Sind Passwortspeicherung und unsichere Extensions erlaubt?
Sofortmaßnahmen in den ersten 24 bis 72 Stunden
Priorisierte Sofortmaßnahmen
- 1
Passwort-Rotation nach Kritikalität
Admin-Konten zuerst, danach E-Mail, Identity Provider, Cloud, VPN und zentrale Business Apps.
- 2
MFA überall erzwingen
Bevorzugt phishing-resistente Verfahren einsetzen, wo das technisch und organisatorisch möglich ist.
- 3
Sessions und Tokens invalidieren
„Sign out everywhere“, Refresh-Tokens widerrufen und riskante Sessions beenden.
- 4
Endpoint-Containment starten
Verdächtige Geräte isolieren, scannen und bei belastbaren Hinweisen neu provisionieren.
- 5
Monitoring hochfahren
Login-Anomalien, MFA-Prompts, neue OAuth-Apps, Mail-Regeln und ungewöhnliche API-Calls priorisiert prüfen.
Check für Privatnutzer: Bin ich betroffen?
Auch wenn der Fund wie ein Großereignis wirkt: Für Privatnutzer entscheidet sich das Risiko oft sehr pragmatisch. Entscheidend ist, ob Sie Passwörter wiederverwendet, sie im Browser gespeichert oder auf Geräten genutzt haben, die mit Infostealer-Malware infiziert sein könnten.
Schnelltest in fünf Minuten
- 1
Passwort-Wiederverwendung
Nutzen Sie dasselbe oder sehr ähnliche Passwörter auf mehreren Diensten wie E-Mail, Social Media, Streaming oder Shops? Dann ist das Risiko hoch.
- 2
E-Mail als Schlüssel
Prüfen Sie, ob Ihr E-Mail-Konto gut abgesichert ist, weil darüber Passwort-Resets für viele andere Dienste laufen.
- 3
Verdächtige Aktivitäten
Achten Sie auf unbekannte Logins, neue Geräte, unerwartete Passwort-Reset-Mails, neue Weiterleitungen oder Filterregeln.
- 4
Browser-Check
Löschen Sie gespeicherte Passwörter und Cookies auf Geräten, denen Sie nicht mehr vollständig vertrauen, und entfernen Sie unbekannte Browser-Erweiterungen.
- 5
Wallets und Finanzen
Prüfen Sie bei Krypto- und Banking-Konten sofort neue Geräte, aktive Sitzungen, API-Keys, Connected Apps und Transaktionen.
Woran erkenne ich Infostealer-Risiko am Gerät?
- Sie haben kürzlich Freeware, Cracks, dubiose Browser-Plugins oder angebliche Codec- und Update-Installer genutzt.
- Pop-ups, Redirects, unerklärliche Performance-Probleme oder deaktivierte Security-Tools treten auf.
- Konten werden plötzlich gesperrt oder melden neue Geräte und Standorte.
Wenn mehrere Punkte zutreffen, behandeln Sie das Gerät als potenziell kompromittiert und setzen Sie die wichtigsten Passwörter von einem sauberen Gerät zurück, zum Beispiel von einem frisch aktualisierten Smartphone oder einem neu aufgesetzten Rechner.
Härtung gegen Infostealer
Infostealer sind häufig der Einstieg vor größeren Vorfällen, zum Beispiel Ransomware. Deshalb lohnt ein klares Baseline-Programm für Browser, Identität und Endpoints.
Browser und Identität absichern
- Passwortspeicherung im Browser deaktivieren und per Policy oder MDM durchsetzen.
- Passwortmanager vorgeben, statt Browser-Speicher als Schattenlösung laufen zu lassen.
- Extension-Whitelisting etablieren, statt alle Erweiterungen zu erlauben.
- Conditional Access mit Device Compliance, Geo-Regeln und risikobasierter MFA nutzen.
Endpoint Controls
- Application Control und Allowlisting für besonders exponierte Rollen einführen.
- Typische Dropper und Infostealer-Ausführungspfade blockieren.
- EDR-Alerts auf Credential Dumping und Browser Data Access priorisieren.
- Least Privilege durchsetzen: keine lokalen Adminrechte „by default“.
Mini-Runbook
# 1) Incident-Notiz & Priorität im internen Ticket
echo "Infostealer-Check: $(date -Iseconds)" >> incident.log
# 2) Kritische Konten: Passwortrotation anstoßen
# - Admin / IdP / Mail / Cloud / VPN
# 3) Sessions/Tokens: "Sign out everywhere" / Refresh Tokens revoken
# Umsetzung abhängig vom IdP/Provider
# 4) Monitoring: Login-Anomalien & neue Geräte/Apps prüfenPriorisierung
Priorisierung nach Kritikalität
| Priorität | Objekt | Aktion | Warum |
|---|---|---|---|
| P0 | Admin / Identity Provider | Reset, MFA erzwingen, Sessions beenden | Maximale Reduktion des möglichen Blast Radius. |
| P1 | Regeln, Forwarding und neue Geräte prüfen | Persistenz und Business Email Compromise verhindern. | |
| P1 | VPN / Remote Access | MFA und Device Compliance durchsetzen | Direkter Zugang zu internen Systemen. |
| P2 | Business Apps | Passwortmanager ausrollen und Reuse stoppen | Credential Stuffing in zentralen Anwendungen eindämmen. |
Häufige Fragen aus der Praxis
FAQ zu Infostealer-Leaks
Sind Unternehmen direkt von diesem Leak betroffen?
Reicht MFA aus, um Infostealer-Schäden zu verhindern?
Was sind die wichtigsten Sofortmaßnahmen in den ersten 24 Stunden?
Wie kann ich als Privatperson feststellen, ob ich betroffen bin?
Was soll ich tun, wenn ich verdächtige Login-Aktivitäten sehe?
Fazit
Der Fund von 149 Millionen Zugangsdaten ist vor allem ein Hinweis auf ein altes, aber hartnäckiges Betriebsproblem: Identitäten hängen an Endgeräten, Browsern, Sessions und Gewohnheiten. Wer nur Passwörter zurücksetzt, schließt einen Teil der Lücke, lässt aber Token-Missbrauch und kompromittierte Geräte oft weiter offen.
Für Unternehmen zählt jetzt ein pragmatischer Ablauf: kritische Konten priorisieren, MFA und Session-Härtung durchsetzen, Endpoints untersuchen und die Browser-Baseline nachziehen. Damit wird aus einem diffusen Leak ein handhabbarer Maßnahmenplan.
Quellen
- Security News: 149M Logins from Roblox, TikTok, Netflix, Crypto Wallets Found OnlineHackread, 23.01.2026
- Zusammenfassung: Unsecured Database Exposes More than 149 Million Usernames and PasswordsOhioSAP, 24.01.2026
- Playbook: Microsoft Token theft playbook (Incident Response)Microsoft Learn, 2024
- Playbook: Microsoft Defender XDR - Session cookie theft alert playbookMicrosoft Learn, 2024
- Best Practice: NIST SP 800-63-4 Digital Identity GuidelinesNIST, Stand 2025+
- Einordnung: The most prominent infostealers and how businesses can protect against themITPro, 2025/2026