24 Milliarden gestohlene Logins und Passwörter wurden an einem Ort gesammelt – auf einem offenen Server, auf den jeder zugreifen konnte. Der Fund von Cybernews-Forschern ist nicht einfach eine weitere „Datenpanne mit N Millionen“. Es ist eine Schaufenster einer ganzen Industrie: Infostealer stehlen Anmeldedaten, Kombinationslisten aggregieren sie, und Bot-Armeen testen sie auf Websites, indem sie jeden Versuch als echten Benutzer maskieren, mithilfe von Residential- und Mobil-Proxys. Wir analysieren, was gefunden wurde, wie Credential Stuffing funktioniert und warum dieser Schattenmarkt auch den legalen Web-Scraping und Multi-Accounting schadet.
Was passiert ist: 8,3 TB und 24 Milliarden Einträge auf einem Server
Am 12. Juni 2026 entdeckten Cybernews-Forscher einen offenen Elasticsearch-Cluster mit einem Volumen von 8,3 Terabyte, in dem 24 Milliarden Einträge mit Anmeldedaten lagen. Die Datenbank war weder durch ein Passwort noch durch eine Authentifizierung geschützt – jeder, der die Adresse kannte, konnte sie lesen. Kurz nach der Veröffentlichung des Fundes wurde der Server offline genommen, sodass die Forscher nicht mehr zum Eigentümer gelangen konnten.
Das Array besteht aus 36 Quellen, und das ist ein entscheidendes Detail. Der Großteil sind sogenannte „Sammlungen“ (rund 22,6 Milliarden Einträge), aber besonders aufschlussreich ist die Struktur des Restlichen:
- mehr als 1,7 Milliarden Einträge stammen direkt aus Telegram-Kanälen – über 30 der 36 Quellen waren Kanäle, in denen offen mit gestohlenen Daten gehandelt wird;
- rund 260 Millionen Einträge stammen aus Kanälen mit Verweisen auf „Darkside“;
- etwa 150 Millionen – lokale Dumps von Datenbanken;
- ungefähr 146 Millionen – Kompilationen aus früheren Datenpannen (Kombinationslisten).
Im Inneren befinden sich nicht einfach „E-Mail und Passwort“. Ein erheblicher Teil des Arrays sind Logs von Infostealern: Malware wie RedLine, Lumma und Vidar, die alles aus dem infizierten Browser herausziehen. In den umfassenderen Logs befinden sich gespeicherte Passwörter, Sessions-Cookies und Tokens – einschließlich derjenigen, die eine Umgehung der Zwei-Faktor-Authentifizierung ermöglichen, Auto-Vervollständigungsdaten, Gerätefingerabdrücke und manchmal Krypto-Wallets. Jeder Eintrag ist normalerweise mit der URL des Dienstes versehen, für den das Passwort gilt – das heißt, eine fertige Anleitung „wo man sich einloggen kann“.
Ein weiterer besorgniserregender Punkt: Anhand indirekter Hinweise (im Array wurden Links zu aktuellen Materialien bis 2026 gefunden) ist zu erkennen, dass der Eigentümer die Datenbank regelmäßig aktualisierte. Es handelt sich nicht um eine archivierte Ablage, sondern um ein lebendiges, aktualisiertes Werkzeug.
Wie aus gestohlenen Passwörtern Geld gemacht wird: Credential Stuffing
Die Liste „Login-Passwort“ ist von sich aus nutzlos, solange sie nicht auf realen Websites getestet wird. Das geschieht durch Credential Stuffing: automatisierte Bots nehmen die gestohlenen Paare und versuchen massenhaft, sich auf Hunderten von Diensten einzuloggen, in der Hoffnung, dass eine Person dasselbe Passwort an mehreren Stellen verwendet.
Das Ausmaß des Problems wird in den Daten des Verizon DBIR für 2025 deutlich. Credential Stuffing machte median 19% aller täglichen Anmeldeversuche in den Logs von SSO-Anbietern aus, bei großen Unternehmen lag der Anteil bei bis zu 25%, und an dem schlimmsten dokumentierten Tag sogar bei 44% des gesamten Login-Traffics. Gestohlene Anmeldedaten waren der Ausgangspunkt für 22% der bestätigten Hacks. Allein im Jahr 2025 wurden aus Darknet-Kombinationslisten etwa 2 Milliarden einzigartige Paare gesammelt – und nun lagen auf einem Server sofort 24 Milliarden Einträge.
Hier beginnt der Teil, der die Proxy-Industrie direkt betrifft. Um bei den ersten Versuchen nicht aufzufliegen, leiten Angreifer Anfragen durch Pools von Residential- und Mobil-Proxys: Jeder Anmeldeversuch erfolgt von einer neuen IP-Adresse eines echten Anbieters oder Mobilfunkbetreibers. Für den Schutz der Website sieht es nicht aus wie ein verdächtiger Computer, der tausendmal versucht, sich einzuloggen, sondern wie tausend verschiedene „normale Benutzer“ aus verschiedenen Städten. Klassischer Schutz durch Anfragenfrequenz von einer IP ist bei dieser Rotation nahezu nutzlos.
Warum das den legalen Scraping und Multi-Accounting schadet
Es scheint, als hätten die, die ehrliche Datensammlung, SMM-Automatisierung oder mehrere Konten für Geschäfte betreiben, damit nichts zu tun? Doch, denn Antibot-Systeme unterscheiden nicht zwischen Absichten – sie unterscheiden Muster. Je aktiver die Angreifer das Credential Stuffing als echten Traffic durch Residential-IP maskieren, desto aggressiver verschärfen Cloudflare, Akamai, DataDome und AWS WAF die Schrauben für alle.
Daher verschiebt sich die Erkennung von der IP-Ebene auf die Identitätsebene. Heute schauen die Filter weniger auf die Adresse, sondern darauf, wie sich der Kunde verhält und wie sein Netzwerkfingerabdruck aussieht:
- TLS- und HTTP-Fingerprinting (JA3/JA4) – wenn das Handshake nicht mit dem angegebenen Browser übereinstimmt, wird der Kunde als verdächtig markiert;
- verhaltensbasierte Timing-Analyse – bei einem lebenden Menschen schwanken die Pausen zwischen den Aktionen, während Skripte oft nahezu identische Intervalle erzeugen;
- Anomalien im Verhältnis von Erfolgen – seltene erfolgreiche Logins, die über viele Konten verteilt sind, sind eine charakteristische Signatur des Stuffings;
- Lücken in Headern und JavaScript – Bots, die die Seite nicht vollständig rendern, verlieren Cookies und Werte, die von JS gesetzt werden.
Deshalb verwandelt sich Scraping im Jahr 2026 zunehmend in ein Spiel der Identitäten und nicht in einen Wettlauf um die Anzahl der IPs – wir haben die Mechanik des TLS- und JA4-Fingerprinting separat ausführlich behandelt. Für ehrliche Projekte ist die Schlussfolgerung einfach: Qualität und „Sauberkeit“ der Proxys sind jetzt wichtiger als ihre Anzahl. Eine IP, die gestern zum Knacken fremder Passwörter verwendet wurde, steht heute bereits auf den Blacklists von Reputationssystemen – und zieht Ihren legalen Traffic mit sich.
Es gibt auch eine Reputationsdimension. Die Skandale um Botnets aus gehackten Smart TVs und die jüngste Zerschlagung von Schattenproxy-Netzwerken haben gezeigt, dass ein Teil des „residential“ Marktes aus fragwürdigen Quellen gespeist wird. Für Unternehmen ist das ein Signal, einen Anbieter mit transparentem Ursprung der IP und klarem KYC zu wählen, und nicht den billigsten Pool unbekannter Qualität. Legale Residential-Proxys und Mobile-Proxys aus geprüften Netzwerken bieten den „sauberen“ Ruf, um den es letztendlich geht – ohne das Risiko, in einem Segment mit Credential-Stuffing-Traffic zu landen.
Was jetzt zu tun ist
Für den normalen Benutzer besteht der beste Schutz vor solchen Leaks nicht im Passwort an sich, sondern in seiner Einmaligkeit. Ein Infostealer, der Ihr Passwort von einem Forum gestohlen hat, ist nur so gefährlich, wie das gleiche Passwort auch für E-Mail und Bank gilt.
- Ein einzigartiges Passwort für jeden Dienst und ein Passwortmanager, um sie nicht im Kopf behalten zu müssen. Credential Stuffing lebt ausschließlich von der Wiederverwendung.
- Zwei-Faktor-Authentifizierung oder Passkeys für kritische Konten – E-Mail, Bank, Geschäfte, soziale Netzwerke. Selbst mit einem gestohlenen Passwort ist es schwieriger, ohne den zweiten Faktor einzuloggen.
- Denken Sie an die Session-Tokens. Infostealer stehlen Cookies, die die Eingabe des Passworts und 2FA überstehen – daher sollte man bei Verdacht auf eine Infektion nicht nur das Passwort ändern, sondern auch aktive Sessions auf allen Geräten beenden.
- Starten Sie nicht einfach alles. Infostealer verbreiten sich über schadhafte Werbung, gefälschte „Browser-Updates“, gehackte Software, Cheats für Spiele, verdächtige Erweiterungen und ClickFix-Angriffe, bei denen das Opfer überzeugt wird, selbst einen Befehl auszuführen.
Für diejenigen, die die Arbeit mit Websites legal automatisieren, lautet die Lektion anders: Trennen Sie Identitäten und mischen Sie sie nicht. Ein separater Satz von Konten – eine separate saubere IP, ein separates Browserprofil mit konsistentem Fingerabdruck. So werden Anti-Detect-Szenarien aufgebaut, und genau deshalb ist ein billiger „grauer“ Proxy-Pool heute gefährlicher für das Projekt als dessen Abwesenheit.
Fazit
24 Milliarden Einträge auf einem ungeschützten Server sind kein Rekord um des Rekords willen, sondern ein Snapshot einer funktionierenden Wirtschaft: Infostealer am Eingang, Kombinationslisten in der Mitte, Credential Stuffing über Residential-Proxys am Ausgang. Solange Menschen Passwörter wiederverwenden, wird dieses Band profitabel bleiben, und die Antibot-Schutzmaßnahmen werden immer strenger. Verlierer wird der sein, der Hygiene ignoriert: der normale Benutzer ohne einzigartige Passwörter und 2FA – und das Unternehmen, das versucht, bei der Sauberkeit der Infrastruktur zu sparen. In einer Welt, in der die Erkennung auf Identität und nicht auf IP basiert, wird der Fokus auf Transparenz und Qualität zur Notwendigkeit.
