Aktuelle Meldungen über einen angeblichen „Hack von 183 Mio. Gmail-Accounts“ entpuppen sich als Fehlinterpretation. Google stellt klar, dass keine Kompromittierung der Gmail-Infrastruktur vorliegt. Stattdessen kursiert eine groß angelegte Sammlung von Zugangsdaten, die über Jahre aus Infostealer-Logs und älteren Leaks aggregiert wurde und nun im Rahmen der Threat-Intelligence-Plattform Synthient sichtbar wurde.
Hintergrund: Was hinter der Synthient-Sammlung steckt
Auslöser der Aufregung ist eine Datensammlung, die über Synthient in den Umlauf geraten und anschließend in den Aggregator Have I Been Pwned (HIBP) integriert worden ist. Nach Angaben von HIBP-Gründer Troy Hunt umfasst die Kollektion rund 183 Mio. Datensätze – darunter E-Mail-Adressen, Passwörter und die zugehörigen Ziel-Domains.
Umfang und Neuigkeitswert der Daten
Laut den Forschern handelt es sich überwiegend nicht um direkte Unternehmensbreaches, sondern um aus Malware stammende Log-Daten kompromittierter Endgeräte. Infostealer – also Schadsoftware, die unbemerkt Passwörter aus Browsern und Anwendungen ausliest – sind die Hauptquelle. Die Sammlung beläuft sich auf etwa 3,5 TB mit insgesamt 23 Mrd. Zeilen. HIBP ordnet die Qualität so ein: 91% der Einträge waren bereits in früheren Leaks vorhanden; neu sind etwa 16,4 Mio. E-Mail-Adressen.
Google-Statement: Kein Einbruch in Gmail, aber reales Missbrauchspotenzial
Google widerspricht Berichten über einen „Gmail-Hack“ und betont, dass der Dienst weiterhin geschützt ist. Das Unternehmen nutzt derartige Sammlungen regelmäßig, um automatisierte Sicherheitsprüfungen anzustoßen, betroffene Nutzer zum Passwort-Reset zu bewegen und den Kontoschutz zu erhöhen. Bereits im September 2025 hatte Google ähnliche Gerüchte über angebliche Massenbenachrichtigungen an alle Gmail-Nutzer zurückgewiesen.
Warum das wichtig ist: Credential Stuffing als Hauptangriffspfad
Auch ohne Plattform-Breach bergen solche Daten ein hohes Risiko: Bei Credential Stuffing testen Angreifer bekannte Kombinationen aus E-Mail und Passwort automatisiert auf vielen Diensten. Passwort-Wiederverwendung wirkt dabei wie ein Multiplikator – ist ein Passwort kompromittiert, fallen oft gleich mehrere Konten. Beispiele aus der Praxis zeigen, dass so Kontoübernahmen, Bestellbetrug, Missbrauch von Cloud- und E-Mail-Zugängen sowie Identitätsdiebstahl beginnen. Der Kernpunkt: Die Gefahr entsteht nicht durch einen Gmail-Hack, sondern durch alte, wiederverwendete Anmeldedaten.
Technische Einordnung: Infostealer, Aggregatoren, Verfügbarkeit der Daten
Infostealer gelangen häufig über Phishing, trojanisierte Downloads oder Exploit-Kits auf Endgeräte. Sie exfiltrieren Browser-Credentials, Autofill-Daten und Cookies – Letztere können sogar Session-Hijacking ermöglichen. Aggregatoren wie HIBP oder Threat-Intel-Plattformen sammeln solche Funde aus Telegram-Kanälen, Darknet-Foren und offenen Quellen, um Verteidigern Transparenz zu verschaffen. Dass ein hoher Anteil der Daten alt ist, schmälert das Risiko nur dann, wenn betroffene Nutzer Passwörter konsequent geändert und starke Mehrfaktorverfahren aktiviert haben.
Praxisleitfaden: So reduzieren Nutzer und Unternehmen das Risiko
– 2FA/MFA aktivieren: Für alle kritischen Konten, bevorzugt phishingsichere Faktoren (z. B. FIDO2-Sicherheitsschlüssel).
– Passkeys einsetzen: Wo verfügbar, sind Passkeys resistent gegen Phishing und Replay-Angriffe und ersetzen die klassische Passwort-Eingabe.
– Einzigartige, lange Passwörter verwenden und in einem vertrauenswürdigen Passwortmanager speichern; keine Wiederverwendung über Dienste hinweg.
– Monitoring via Have I Been Pwned: E-Mail-Adressen prüfen und bei Treffer sofort Passwörter ändern, aktive Sitzungen beenden und Wiederherstellungsoptionen aktualisieren.
– Endpunktschutz und Updates: Betriebssysteme, Browser und Sicherheitslösungen aktuell halten, um Infostealer-Infektionen zu verhindern; bei Verdacht vollständigen Scan durchführen.
Unterm Strich zeigt die Synthient-Sammlung, dass nicht der Bruch einer Plattform den größten Schaden verursacht, sondern alte, wiederverwertete Zugangsdaten. Wer Passkeys oder starke MFA nutzt, Passwörter nicht recycelt und Kompromittierungen proaktiv überwacht, reduziert das Risiko einer Kontoübernahme signifikant. Prüfen Sie Ihre Adressen regelmäßig bei HIBP, aktualisieren Sie schwache oder geleakte Passwörter und aktivieren Sie robuste Faktoren – so behalten Sie die Kontrolle, auch wenn alte Datensätze erneut auftauchen.
