24 Milliarden Datensätze: Ungeschützter Elasticsearch-Cluster entdeckt

Ein neuer Schwarzmarkt für gestohlene Passwörter verändert die Bedrohungslage für Unternehmen und Privatpersonen grundlegend. Statt Datensammlungen im großen Stil zu verkaufen, bieten Hacker mittlerweile maßgeschneiderte Abfragen an – gegen eine Gebühr von rund 20 Euro pro Anfrage.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Die sichere Alternative jetzt gratis nachlesen

Vom Datenfriedhof zur Suchmaschine für Hacker

Die Analyse von 470 Beiträgen in Untergrundforen zwischen Januar 2025 und Juni 2026 zeigt einen klaren Trend: Cyberkriminelle haben ihre Geschäftsmodelle professionalisiert. Statt riesiger Logdateien bieten sie nun einen „Search Your Target"-Service an. Kunden können gezielt nach Zugangsdaten für bestimmte Unternehmen, Plattformen oder Regionen fragen.

Die Anbieter versprechen Antwortzeiten von zehn bis 15 Minuten. Geliefert werden die Daten meist im Format URL:LOGIN:PASS oder MAIL:PASS. Die Kosten pro Abfrage liegen bei umgerechnet etwa 20 Euro.

Doch Vorsicht ist geboten: Die Qualität der Daten schwankt erheblich. Nutzerberichte aus den Foren deuten darauf hin, dass viele der angebotenen Zugangsdaten zwar gültig, aber mehrfach vorhanden sind. Andere wiederum sind schlichtweg falsch. Sicherheitsexperten betonen, dass dieser Markt zwar mit dem Handel von Netzwerkzugängen verwandt ist, aber eine eigene Nische besetzt – den gezielten Datendiebstahl ohne direkten Netzwerkzugriff.

24 Milliarden Datensätze ungeschützt im Netz

Das Ausmaß der Bedrohung verdeutlicht ein spektakulärer Fund: Am 12. Juni 2026 entdeckten Forscher von Cybernews einen ungeschützten Elasticsearch-Cluster mit 8,3 Terabyte Daten. Die Datenbank enthielt 24 Milliarden Anmeldedatensätze aus 36 verschiedenen Quellen.

Der Großteil der Daten – rund 22,6 Milliarden Einträge – stammt von Infostealer-Malware. Hinzu kommen 1,7 Milliarden Datensätze aus Telegram-Kanälen, 150 Millionen aus lokalen Speicherabbildern und 146 Millionen aus kombinierten Datenlecks. Besonders brisant: Die Sammlung enthielt nicht nur Benutzernamen und Klartext-Passwörter, sondern auch Sitzungscookies, Umgehungs-Tokens für die Zwei-Faktor-Authentifizierung und Geräte-Fingerabdrücke.

Einige Datensätze stammten noch aus dem Februar 2026. Der Cluster wurde am 15. Juni vom Netz genommen. Sicherheitsexperten warnen, dass solche Lecks das Risiko von Credential-Stuffing-Angriffen massiv erhöhen – automatisierte Attacken, bei denen gestohlene Zugangsdaten auf hunderten Plattformen ausprobiert werden.

Malware-as-a-Service: Immer neue Verteilungsmethoden

Die Flut gestohlener Daten wird durch ein ganzes Ökosystem von Schadsoftware angetrieben. Ein Dauerbrenner ist Agent Tesla, ein seit 2014 aktiver Trojaner, der Passwörter aus Browsern, E-Mail-Programmen und VPNs stiehlt. Seine Werkzeuge: Keylogging und Bildschirmaufnahmen.

Ob Browser, E-Mail oder WhatsApp – klassische Passwörter sind das Hauptziel moderner Schadsoftware. Erfahren Sie in diesem kostenlosen Report, wie Sie die neue Passkey-Technologie nutzen, um Hackern keine Chance mehr zu lassen. Kostenlosen Passkey-Ratgeber herunterladen

Doch die Angreifer werden kreativer. Elastic Security Labs deckte eine Kampagne auf, bei der der Schädling OXLOADER über manipulierte Google-Anzeigen verbreitet wurde. Die mutmaßlich russischsprachige Gruppe nutzte den Lader, um CastleStealer zu installieren. Das Werbekonto wurde zwar am 14. Mai 2026 gesperrt – der Vorfall zeigt aber, wie legitime Werbeplattformen für Malware-Kampagnen missbraucht werden.

In Indien beobachteten Sicherheitsforscher eine Phishing-Welle, die mit mehrstufigen Ladern Remcos RAT und Phantom Stealer verbreitet. Die Angreifer tarnen ihre Mails als offizielle Schreiben von Steuerbehörden, etwa als GST-Belastungsanzeigen.

75.000 FortiGate-Geräte kompromittiert

Die FortiBleed-Kampagne zeigt, wie verwundbar selbst professionelle Netzwerkinfrastruktur ist. Angreifer nutzten ein maßgeschneidertes Golang-Tool namens FortigateSniffer, um legitime Systembefehle zu missbrauchen und Authentifizierungsdaten abzugreifen.

Betroffen waren rund 75.000 FortiGate-Geräte in über 190 Ländern. Zu den prominenten Opfern zählen multinationale Konzerne wie Oracle, Samsung, Siemens und PwC sowie ein Auftragnehmer der NATO. Sicherheitsanalysten sehen eine Ursache in der „Demokratisierung" von Rechenleistung: Die Angreifer mieteten bis zu 45 Grafikprozessoren über Cloud-Dienste – für jedermann buchbar – und führten damit groß angelegte Passwort-Cracking-Attacken durch.

de | wissenschaft | 69610481 |