5 Millionen Gmail Logins sollen im Umlauf sein, Prüf-Tool vorhanden

Knapp 5 Millionen Benutzer- / Passwort-Kombinationen sollen laut einer russischen Seite von Gmail abgegriffen worden sein. Mehr als die Hälfte davon sollen auch funktionieren. Die Datenbank befindet sich im Umlauf, wer betroffen ist, sollte zumindest zügig das Passwort ändern, besser aber noch direkt auf die 2-Faktor-Authentifizierung zurückgreifen. Es gibt auch ein Prüf-Tool, um zu sehen, ob man selbst betroffen ist. Die E-Mail-Adressen werden angeblich nicht gesammelt, es wird sogar angeboten, dass man bis zu 3 Zeichen in der E-Mail-Adresse mit Wildcards ersetzen kann. Müsst Ihr selbst entscheiden, ob Ihr das macht. Die Seite findet Ihr hier.

Google Office

Ich selbst habe es mit 3 Wildcards ausprobiert, bin laut Prüfseite aber nicht betroffen. Die russische Seite berichtet, das rund 60 Prozent der Datensätze aktuell sind, also eine korrekte E-Mail- / Passwort-Kombination vorweisen. Woher die Daten stammen und wie alt diese sind, ist unklar. Das regelmäßige Ändern von Passwörtern sollte eigentlich für jeden dazu gehören, auch wenn man dies aus Bequemlichkeit gerne einmal weglässt. Falls Ihr Euch ohne Prüf-Tool durch die Datenbank wühlen wollt, könnt Ihr diese hier herunterladen. (Danke @mrinternetz!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

28 Kommentare

  1. Solange Google dazu nichts sagt, gebe ich ganz sicher meine Mail-Adresse nirgendwo für eine Überprüfung ein. Schon gar nicht auf einer russischen Seite.

  2. Ganz einfach woher die stammen. Aus irgendwelchen Android apps bei denen man sich mit Google anmeldet. Ich arbeite bei einem Telefon Unternehmen mit Schwerpunkt Neukunden Akquise im Bereich Weiterbildung. Es ist ein leichtes, selbst als Praktikant, an die Datenbank mit über 5 Millionen unique Adressen zu kommen. Ebenso ist es absolut normal und legitim das diese eingekauft werden. Zb. Bei der Firma hoppenstedt, kann jeder selbst ergooglen.

  3. Für meinen Geschmack geht die Datenbankabfrage auf der Site viel zu schnell.
    Falls es wirklich 5 millionen Datensätze sind sollte die Site länger als 0,3 Sekunden brauchen um das zu checken, das ist ja gerade mal die Zeit die die Anfrage braucht bis sie von mir bei denen ist… Lieber vorsichtig sein

  4. Auf einer russischen Seite eine Email Adresse eingeben die einem möglicherweise wichtig ist. Was soll schon schief gehen? 🙂

    Aber muss ja jeder selber wissen. Auch Wildcards machen das nicht viel besser.

  5. @gugelugu: Es geht aber nicht um die Adressen, sondern um die Passwörter. Die Adressen alleine sind doch nix wert. Der Google-Spamfilter ist Gold wert!

  6. Bevor hier weitere Leute anfangen, sich darüber zu beklagen, dass sie ihre E-Mail Adresse nicht auf irgendwelchen Seiten eingeben wollen:

    1. es ist nur eure E-Mail Adresse. Keine Sau kann damit was anfangen, außer euch im schlimmsten Fall auf eine Spamliste zu setzen, von der ihr eh nichts mitbekommt, da der Spamfilter von GMail imho ziemlich gut ist und Mails direkt löscht oder in den Spam-Ordner verschiebt

    2. die Seite bietet extra die Möglichkeit, drei Sternchen in der Adresse zu verwenden, anstatt diese komplett auszuschreiben.

    3. gibt man die komplette Adresse an, erhält man sogar einen Hinweis darauf, mit welchen zwei Buchstaben das Kennwort anfängt.

    Meine Adresse ist auf der Liste, allerdings mit einem Kennwort, welches ich seit über 5 Jahren nicht mehr nutze. Entweder wurden hier also Leaks zusammengeschmissen, oder aber die Daten sind ganz einfach schon seit etlichen Jahren im Umlauf.

  7. Hi

    Was sind bitte ,,Wildcards,, ?

  8. Und nun? Passwörter ändern, auf wilden Seiten prüfen ob man dazugehört , noch sichere Passwörter nutzen. Wenn es ein Leck gibt kann ich viel ändern, solange das Leck offen bleibt. Wenn ich die Ursache nicht kenne wie man an die Passwörter gekommen bleibt das geänderte Passwort ja wohl nicht lange unbekannt. Ich bekomme schon von den mir selbst auferlegten Passwort ändern Bestreben einen Vogel. Bis der gesamte Geräte Park wieder mit den neunen Passwörter löuft. Jetzt ändere ich noch nach jeder Meldung die passwörter,
    Bald nutzte ich den Computer und Co mehr zum Passwort ändern als zum effektiven nutzen. Man
    Ich lese wieder Zeitung und hole Papier und Bleistift raus. Hurra

  9. E-Mail Adressen auf einer russischen Seite eingeben? Spätestens dann schwirren Sie überall im Internet rum. Das ist nicht mehr als eine Seite um E-Mail Adressen ab zu greifen.
    Ansonsten wäre Sie z.B. von Google selbst.
    Es heißt nicht umsonst, dass man seine Daten nicht auf unbekannten Seiten eingeben sollte. Zwar fehlt dann noch das PAsswort aber um Spam zu empfangen benötigt man das ja nicht.

    Nicht eingeben! Und wenn man es tut sollte man sich nicht darüber wundern 🙂

  10. Christian Hesseling says:

    Man kann sich die Datenbank auch herunterlasen, hat Sasha doch extra noch angeboten. Also meine Mailadressen habe ich in der Datenbank nicht gefunden.

  11. Ich habs mal mit drei Sternchen ausprobiert: 7 Funde
    Als ich meine Adresse nur noch mit einem Stern „verschleiert“ habe warens noch 3 Funde.
    Also ok, komplette Email angegeben, hat er mir ein Fund und die ersten beiden Zeichen im Passwort angezeigt.

    Allerdings ist das nicht das richtige Passwort, wenn überhaupt, dann der anfang eines sehr veralteten Passwortes.

    Wie dem auch sei, ich benutze für alle Konten ein einmaliges Passwort.

  12. Einmal getestet mit zwei **, wurde gefunden, mit der kompletten jedoch nicht. 2-Faktor seit eh und je sowieso aktiviert.

  13. Ich bin enttäuscht, selbst meine SPAM email, die ich, ohne mit der Wimper zu zucken, für alles mögliche verwende, ist nicht dabei. 😛

  14. Puh, zum glück nicht dabei 😉 Hab aber über die Textdatei gecheckt,
    die Webseite kommt nicht gerade seriös rüber 😉

  15. Klar, daß Ihr Euch nicht findet, obwohl es 5 Mio. sein sollen, sind es nur 4929090

    > wc -l google_5000000.txt
    4929090 google_5000000.txt

  16. 18:09 Uhr -> 502 Bad Gateway 😀

  17. Ich kann die Datenbankdatei erst gar nicht runterladen – WhiteScreen 🙁

  18. Ein Paar Hundert valide (wenn nicht mehr) E-Mail Adressen eingesammelt und den Dienst geschlossen wie gesagt xD
    Und ja Valide E-Mail Adressen (solche die genutzt werden und Spam evtl. auch gelesen wird, jeden Tag wacht ein dummer auf ;)) werden gerne angekauft.

  19. Mag nochmal jemand die DB neu uploaden? Download ist blockiert :/

  20. Wer immer noch keinen Passwortsafe und Zwei-Faktor-Authentifizierung verwendet wo möglich dem ist eh nicht mehr zu helfen. So lernresistent kann man ja nun nicht sein nachdem das Thema allein in den letzten Monaten x-fach durch die Mainstreammedien ging.

  21. Hier noch ein Mega-Mirror der Datenbank. Einfach zweimal entpacken und die .txt durchsuchen. mMn ist der Leak aber bullshit.

    https://mega.co.nz/#!6hYWVIyI!vrrDuv3s3ZbMiobnv0sYFdIOsudQ44-oDobLInq00ls

  22. @ Iruwen: Für die 99% der Bevölkerung, die keine 2Faktor… nutzen bist du der paranoide Psycho

  23. @Jon

    „Für meinen Geschmack geht die Datenbankabfrage auf der Site viel zu schnell.“

    Sowas macht man nicht mehr per Datenbank-Query.

    „Falls es wirklich 5 millionen Datensätze sind sollte die Site länger als 0,3 Sekunden brauchen um das zu checken,“

    Quatsch. So ein simpler Lookup würde z.B. in nen Lucene-Index keine Millisekunde brauchen.

    “ das ist ja gerade mal die Zeit die die Anfrage braucht bis sie von mir bei denen ist“

    Dann hätte die Seite ja mindestens 0,6 Sekunden lassen müssen.

  24. Man kann hier überprüfen ob seine EmailPasswörter mit in dieser Datenbank geleaked wurden: http://www.droida.de/gmail-address-leaked.html

  25. Also sollten die Adressen wirklich echt sein, können diese mit viel Spam in zukunft rechnen. 🙁

    eine meiner alten mail adressem mit einer „2“ am ende steht auf der Liste, ist aber bestimmt jemand anders 🙂

  26. Wäre vielleicht witzig, da mal nur Mailadressen von Spamversendern ‚checken‘ zu lassen. 🙂

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.