Ein massiver Datenleck-Vorfall bei der Technikzeitschrift Wired sorgt aktuell in der Sicherheitscommunity für Aufmerksamkeit. Auf einem bekannten Hackerforum kursiert eine Datenbank mit mehr als 2,3 Millionen Datensätzen von Wired-Abonnenten, die detaillierte Kontakt- und Profildaten enthält. Hinter der Veröffentlichung steht ein Akteur mit dem Alias Lovely, der angibt, zusätzlich über rund 40 Millionen weitere Datensätze aus dem Medienkonzern Condé Nast zu verfügen.
Umfang der Datenpanne: 2,3 Millionen E-Mail-Adressen von Wired-Abonnenten
Nach technischer Analyse umfasst der Dump 2.366.576 Datensätze mit insgesamt 2.366.574 einzigartigen E-Mail-Adressen. Die Zeitstempel in der Datenbank reichen von 26. April 1996 bis 9. September 2025. Letzteres deutet auf Systemartefakte, vorbereitete Einträge oder fehlerhafte Datumsfelder hin, zeigt aber zugleich, dass sowohl sehr alte als auch relativ aktuelle Abonnements betroffen sind.
Jeder Eintrag enthält einen internen Nutzer-Identifier, die E-Mail-Adresse sowie je nach Fall zusätzliche Felder: Vor- und Nachname, Telefonnummer, Postanschrift, Geschlecht, Geburtsdatum, Registrierungs- und Update-Zeitstempel und Angaben zu letzten Logins. Für Wired-spezifische Dienste sind zudem Felder wie ein öffentlich angezeigter Benutzername vorhanden.
Welche personenbezogenen Daten offengelegt wurden
Nicht jeder Datensatz ist vollständig ausgefüllt, dennoch ist die Informationsdichte aus Datenschutzsicht kritisch. Aus der Auswertung ergeben sich unter anderem:
12,01 % (284.196 Einträge) enthalten Vor- und Nachnamen, 8,21 % (194.361) eine physische Adresse, 2,84 % (67.223) das Geburtsdatum und 1,37 % (32.438) eine Telefonnummer. Nur 0,06 % (1.529 Konten) beinhalten einen nahezu vollständigen Profil-Datensatz mit Name, Anschrift, Telefon, Geburtsdatum und Geschlecht.
Schon die Kombination aus E-Mail-Adresse, Name und Postanschrift reicht nach gängiger Praxis für zielgerichtete Phishing-Kampagnen und Social-Engineering-Angriffe aus. Studien wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass Phishing einer der häufigsten Einstiegsvektoren für Kompromittierungen ist. Zusätzliche Attribute wie Geburtsdatum und Mobilnummer erleichtern Identitätsdiebstahl und die Verknüpfung mit anderen öffentlich gewordenen Leaks.
Verbreitungsweg: vom „Responsible Disclosure“ zur Kommerzialisierung
Der Datendump der Wired-Abonnenten wurde Ende Dezember auf einem Hackerforum veröffentlicht und für etwa 2,30 US-Dollar in der Foren-internen Währung angeboten. Aufgrund des niedrigen Preises und der schnellen Weiterverbreitung auf anderen Untergrund-Plattformen ist davon auszugehen, dass die Daten inzwischen einer breiten Palette von Akteuren im Cybercrime-Milieu zur Verfügung stehen.
Der Angreifer Lovely hatte sich laut dem Portal DataBreaches.net zunächst als Sicherheitsforscher präsentiert, der Schwachstellen in den Systemen von Condé Nast verantwortungsvoll melden wollte. Bereits im November habe er auf Fehler hingewiesen, die das Anzeigen und Verändern von Kontodaten ermöglichten. Zunächst will er nur eine begrenzte Anzahl Datensätze – darunter auch Konten von Wired-Mitarbeitenden – heruntergeladen haben, um die Sicherheitslücke zu belegen.
Nachdem seine Forderungen offenbar nicht wie gewünscht beantwortet wurden, behauptete Lovely, die vollständige Abonnentendatenbank von Wired entwendet zu haben, und drohte mit der Veröffentlichung. DataBreaches.net stuft ihn klar als Angreifer ein und spricht sich gegen jegliche Lösegeldzahlung aus, da seine Aussagen widersprüchlich und nicht vertrauenswürdig seien.
Weitere Condé-Nast-Marken im Visier
Lovely behauptet zudem, Nutzer- und Abonnementdaten weiterer Condé-Nast-Titel kompromittiert zu haben, darunter The New Yorker, Vogue, Vanity Fair, Glamour, GQ, Allure, Architectural Digest, Golf Digest, Teen Vogue, SELF, Epicurious, Men’s Journal, Condé Nast Traveler und andere Marken. Eine umfassende Bestätigung dieser weitergehenden Behauptungen steht derzeit noch aus.
Verifikation des Leaks und Einbindung in Have I Been Pwned
Condé Nast hat zum Zeitpunkt der vorliegenden Berichte keine detaillierte öffentliche technische Analyse vorgelegt. Unabhängige Prüfungen deuten jedoch auf die Echtheit der Daten hin. So verifizierte BleepingComputer manuell 20 zufällig ausgewählte Einträge und konnte sie realen Wired-Abonnenten zuordnen.
Das Threat-Intelligence-Unternehmen Hudson Rock hat darüber hinaus Datensätze aus dem Leak mit Logdaten von Infostealer-Malware korreliert und ebenfalls Übereinstimmungen festgestellt. Die Datenbank wurde bereits in den Monitoring-Dienst Have I Been Pwned (HIBP) aufgenommen, sodass Betroffene ihre E-Mail-Adresse dort gegen den Leak prüfen können.
Risiken für Betroffene und Lehren für Medienunternehmen
Für Inhaber kompromittierter E-Mail-Adressen ist in den kommenden Monaten mit einem deutlichen Anstieg von Spam und gezielten Phishing-Mails zu rechnen. Wo zusätzlich Name, Anschrift oder Telefonnummer vorliegen, können Angreifer realistisch wirkende Kontaktversuche im Namen von Versanddienstleistern, Banken oder des Supports von Online-Diensten konstruieren. In Kombination mit Passwortwiederverwendung sind auch Credential-Stuffing-Angriffe auf andere Konten zu erwarten.
Nutzer sollten ihren E-Mail-Account auf Have I Been Pwned prüfen, starke, einzigartige Passwörter für alle wichtigen Dienste einsetzen, einen Passwortmanager nutzen und Multi-Faktor-Authentifizierung (MFA) insbesondere für E-Mail, soziale Netzwerke und Online-Banking aktivieren. Unerwartete Nachrichten mit Links oder Anfragen nach Zugangsdaten sollten grundsätzlich skeptisch behandelt und im Zweifel über bekannte offizielle Kanäle verifiziert werden.
Für Medienhäuser und andere Abo-getriebene Plattformen unterstreicht der Wired-Vorfall die Notwendigkeit einer proaktiven Cybersecurity-Strategie. Dazu gehören regelmäßige Penetrationstests, ein klar definierter und öffentlich dokumentierter Prozess für Responsible Disclosure, strikte Datenminimierung (nur speichern, was wirklich benötigt wird), Segmentierung von Kundendatenbanken, zeitnahe Behebung gemeldeter Schwachstellen sowie sorgfältige Protokollierung und Überwachung verdächtiger Zugriffe. Wer personenbezogene Daten in großer Zahl sammelt, muss damit rechnen, Ziel professioneller Angreifer zu werden – und sollte Sicherheitsinvestitionen entsprechend priorisieren.
