Fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter sind in einem massiven Datenleck öffentlich zugänglich geworden – der größte Datensatz, den die Sicherheitsplattform Have I Been Pwned (HIBP) jemals verarbeitet hat. 

Der australische Sicherheitsforscher Troy Hunt veröffentlichte die Daten Anfang November 2025, um Betroffene zu warnen. Besonders alarmierend: Rund 625 Millionen der Passwörter waren bisher völlig unbekannt und tauchen erstmals in den Listen auf.​

Die HIBP-Datenbank, die zuvor etwa 15 Milliarden Einträge umfasste, wächst durch dieses Datenleck um rund 13 Prozent auf über 17 Milliarden. Exakt 1,957 Milliarden E-Mail-Adressen wurden hinzugefügt, was die Dimension dieser Sicherheitskrise verdeutlicht.

Daten stammen aus jahrelangen Sammellisten

Die Informationen stammen von der Threat-Intelligence-Plattform Synthient und unterscheiden sich grundlegend von kürzlich aufgetauchten Stealer-Logs. Stattdessen wurden hier Zugangsdaten aus verschiedenen, bereits bekannten Datenlecks über Jahre hinweg zusammengetragen. Synthient wurde von einem US-amerikanischen College-Studenten namens Ben (Benjamin Brundage) in seinem letzten Studienjahr gegründet, der die Daten aus verschiedenen Quellen wie Telegram-Kanälen, Dark-Web-Foren und Tor aggregierte.​

Hunt betont ausdrücklich, dass es sich nicht um einen gezielten Hack von Gmail oder einem anderen großen Anbieter handelt. Zwar sind 394 Millionen Gmail-Adressen enthalten, doch stammen diese aus 32 Millionen verschiedenen E-Mail-Domains. Über 80 Prozent der Einträge haben nichts mit Gmail zu tun.​

Hunt überprüfte die Datenqualität durch Stichproben bei HIBP-Abonnenten. Die Ergebnisse waren erschreckend: Viele der gefundenen Passwörter wurden noch aktiv genutzt, obwohl einige über zehn Jahre alt waren. Ein Nutzer bestätigte, dass ein aktuell verwendetes Passwort in den Listen auftauchte und änderte daraufhin umgehend alle kritischen Zugänge.

Daten stammen aus jahrelangen Sammellisten

Die Informationen stammen von der Threat-Intelligence-Plattform Synthient und unterscheiden sich grundlegend von kürzlich aufgetauchten Stealer-Logs. Stattdessen wurden hier Zugangsdaten aus verschiedenen, bereits bekannten Datenlecks über Jahre hinweg zusammengetragen. Synthient wurde von einem US-amerikanischen College-Studenten namens Ben (Benjamin Brundage) in seinem letzten Studienjahr gegründet, der die Daten aus verschiedenen Quellen wie Telegram-Kanälen, Dark-Web-Foren und Tor aggregierte.​

Hunt betont ausdrücklich, dass es sich nicht um einen gezielten Hack von Gmail oder einem anderen großen Anbieter handelt. Zwar sind 394 Millionen Gmail-Adressen enthalten, doch stammen diese aus 32 Millionen verschiedenen E-Mail-Domains. Über 80 Prozent der Einträge haben nichts mit Gmail zu tun.​

Hunt überprüfte die Datenqualität durch Stichproben bei HIBP-Abonnenten. Die Ergebnisse waren erschreckend: Viele der gefundenen Passwörter wurden noch aktiv genutzt, obwohl einige über zehn Jahre alt waren. Ein Nutzer bestätigte, dass ein aktuell verwendetes Passwort in den Listen auftauchte und änderte daraufhin umgehend alle kritischen Zugänge.