KDDI-Datenpanne: 14,22 Millionen Kunden-Zugangsdaten gestohlen
Veröffentlicht: 29.06.2026 um 16:38 Uhr, Redaktion boerse-global.de
Hacker erbeuteten Zugangsdaten von Millionen Kunden.
Schwachstelle in zentraler E-Mail-Plattform
Der japanische Telekommunikationsriese KDDI hat einen massiven Datenmissbrauch in seiner gemeinsamen E-Mail-Infrastruktur offengelegt. Betroffen sind bis zu 14,22 Millionen Nutzerkonten mehrerer Internetanbieter. Der Vorfall wurde am 17. Juni 2026 entdeckt.
Die Angreifer nutzten eine Sicherheitslücke in einer Drittanbieter-Software aus, die in KDDIs zentraler E-Mail-Plattform zum Einsatz kommt. Dieses System wird von mehreren großen japanischen Internetdienstanbietern genutzt – mit weitreichenden Folgen.
Zu den betroffenen Unternehmen zählen STNet, JCOM, Chubu Telecommunications, NIFTY, BIGLOBE und KDDI Web Communications. Welche Software genau die Schwachstelle aufwies, ist bislang nicht bekannt. Klar ist jedoch: Die Lücke ermöglichte unbefugten Zugriff auf gespeicherte E-Mail-Adressen und Passwörter.
Der KDDI-Vorfall zeigt erneut, wie riskant die klassische Passwort-Nutzung geworden ist, wenn Millionen Konten gleichzeitig kompromittiert werden können. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Login-Daten bei Amazon, WhatsApp & Co. endlich unhackbar machen. Passkeys kostenlos einrichten und Sicherheit maximieren
Welche Daten sind gefährdet?
Nach Angaben von KDDI umfasst der Vorfall rund 14,22 Millionen Anmeldedatensätze. Das Unternehmen betont, dass viele Passwörter in gehashter oder verschlüsselter Form vorlagen. Allerdings fehlen Details zu den verwendeten Hash-Verfahren – ein Kritikpunkt von Sicherheitsexperten.
Die Gefahr ist real: Mit den gestohlenen Daten könnten Kriminelle sogenannte Credential-Stuffing-Angriffe durchführen. Dabei versuchen sie, die erbeuteten Kombinationen aus E-Mail und Passwort auf anderen Plattformen zu nutzen – vor allem dort, wo Nutzer dieselben Zugangsdaten verwenden. Der Datensatz umfasst sowohl aktuelle als auch ehemalige Kunden der betroffenen Internetanbieter.
Behörden informiert – elf Tage später
KDDI informierte die japanischen Aufsichtsbehörden nach der Entdeckung des Vorfalls. Zwischen der ersten Feststellung am 17. Juni und der öffentlichen Offenlegung vergingen elf Tage. In dieser Zeit arbeitete das Unternehmen daran, das Ausmaß des unbefugten Zugriffs zu klären.
Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt – oft mit fatalen Folgen für die betroffenen Nutzer. Dieser Gratis-Ratgeber erklärt Ihnen die sicherste Alternative zum klassischen Passwort, damit Sie künftig nie wieder Opfer von Datenklau werden. Jetzt kostenlosen PDF-Report zu Passkeys sichern
Die betroffenen Internetanbieter haben umgehend reagiert: Alle Kunden werden aufgefordert, ihre E-Mail-Passwörter sofort zurückzusetzen. Darüber hinaus empfehlen die Unternehmen dringend die Aktivierung der Multi-Faktor-Authentifizierung (MFA) oder der Zwei-Faktor-Authentifizierung (2FA).
Bislang hat sich keine bekannte Hackergruppe zu dem Angriff bekannt. Offizielle Indikatoren für eine Kompromittierung wurden nicht veröffentlicht. KDDI versichert, die Situation weiter zu überwachen und die zugrunde liegende Sicherheitslücke zu schließen.
