Die 10 größten Datenlecks in den USA [2026]

1. Einleitung: Warum sind Datenlecks ein Risiko für Unternehmen in den USA?#

Datenlecks in den Vereinigten Staaten haben in den letzten Jahren zugenommen und sind zu einem kritischen Problem für Unternehmen, Einzelpersonen und Behörden gleichermaßen geworden. Allein im Jahr 2024 lag die Zahl der gemeldeten Vorfälle bei 3.158, wovon über 1,35 Milliarden Menschen betroffen waren. Dies ist ein alarmierender Anstieg im Vergleich zu 2021, als nur 1.862 Datenlecks verzeichnet wurden. Branchen wie Finanzdienstleistungen, Gesundheitswesen und professionelle Dienstleistungen wurden besonders hart getroffen, was ihre Verwundbarkeit und Attraktivität für Cyberkriminelle unterstreicht. Datenlecks im Gesundheitswesen haben sich als besonders schwerwiegend und hartnäckig erwiesen. Im Jahr 2023 legten 725 Datenlecks im Bereich Gesundheitswesen mehr als 133 Millionen Datensätze offen, wobei allein der größte Vorfall 11,3 Millionen Personen betraf. Bis April 2024 waren bei lediglich 54 Datenlecks im Gesundheitswesen bereits über 15 Millionen Patienten betroffen.

In diesem Blogbeitrag analysieren wir die zehn größten Datenlecks in der Geschichte der USA und decken auf, wie sie aufgetreten sind, welche Auswirkungen sie hatten und welche Lektionen Unternehmen lernen müssen, um sich vor künftigen Bedrohungen zu schützen.

2. Warum sind die USA ein attraktives Ziel für Datenlecks?#

Als größte Volkswirtschaft der Welt sind die USA ein attraktives Ziel für Cyberkriminelle, da einige bestimmte Kriterien erfüllt sind:

2.1 Größte Volkswirtschaft und Datenvolumen#

Die USA sind die größte Volkswirtschaft der Welt und ein globales Zentrum für Branchen wie Technologie, Finanzen, Gesundheitswesen und Einzelhandel, die jeweils enorme Mengen an sensiblen Daten erzeugen und speichern. Solch riesige Datenbestände stellen lukrative Ziele für Angreifer dar, die nach finanziellem Gewinn, wertvollem geistigem Eigentum oder persönlichen Informationen für Identitätsdiebstahl und Betrug suchen.

2.2 Präsenz großer Konzerne und Regierungsbehörden#

Als globale Wirtschaftsmacht beherbergen die USA viele Fortune-500-Unternehmen, multinationale Konzerne und kritische Behörden, die für Infrastruktur und nationale Sicherheit verantwortlich sind. Diese Organisationen verwalten umfangreiche Datenbanken mit sensiblen Kunden-, Mitarbeiter- und Betriebsdaten. Die kritische Natur dieser Informationen erhöht sowohl die Wahrscheinlichkeit als auch die Schwere von Datenlecks und verstärkt den potenziellen Schaden durch Cybervorfälle.

2.3 Flickenteppich an Vorschriften#

Die zersplitterte regulatorische Landschaft in den US-Bundesstaaten und Branchen schafft inkonsistente Cybersicherheitsstandards, was zu potenziellen Lücken beim Datenschutz und dessen Durchsetzung führt. Im Vergleich zu Ländern mit einheitlichen und strengen Cybersicherheitsvorschriften senkt dieser Flickenteppich-Ansatz die Hürden für Cyberkriminelle und macht es ihnen leichter, Schwachstellen zu identifizieren und auszunutzen.

Zusammengenommen machen diese Faktoren die USA zu einem besonders anfälligen und attraktiven Umfeld für Cyberbedrohungen, was proaktive Cybersicherheitsmaßnahmen erforderlich macht.

3. Die größten Datenlecks in den USA#

Im Folgenden finden Sie eine Liste der größten Datenlecks in den USA. Die Datenlecks sind absteigend nach der Anzahl der betroffenen Konten sortiert.

3.1 Yahoo Datenleck (2013–2016)#

In einer Reihe von Cyberangriffen zwischen 2013 und 2016 erlitt Yahoo das bis heute größte Datenleck in der Geschichte der USA, bei dem rund 3 Milliarden Nutzerkonten kompromittiert wurden. Die gestohlenen Informationen umfassten Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, gehashte Passwörter (unter Verwendung von MD5, das als unsicher gilt) sowie unverschlüsselte Sicherheitsfragen und -antworten. Das Datenleck wurde mit staatlich unterstützten Akteuren in Verbindung gebracht, wobei der Verdacht auf russische Agenten fiel.

Die Auswirkungen waren enorm: Der Ruf von Yahoo erlitt schweren Schaden, und die anstehende Übernahme durch Verizon im Jahr 2017 wurde als direkte Folge um 350 Mio. US-Dollar abgewertet. Die Kritik konzentrierte sich auf Yahoos verzögerte öffentliche Bekanntgabe und veraltete Sicherheitspraktiken, insbesondere die Verwendung schwacher Algorithmen zum Passwort-Hashing und das Versäumnis, kritische Sicherheitsdaten ordnungsgemäß zu verschlüsseln.

Präventionsmethoden:

• Verwendung stärkerer Verschlüsselungsstandards wie bcrypt für Passwörter und sensible Informationen
• Einrichtung von Protokollen zur schnellen Benachrichtigung bei Datenlecks
• Einsatz von Multi-Faktor-Authentifizierung (z. B. Passkeys), um die Auswirkungen von Identitätsdiebstahl zu mindern

3.2 National Public Data (NPD) Datenleck (2024)#

Im März 2024 erlebte National Public Data (NPD), ein großer Datenbroker, eines der größten Datenlecks in der US-Geschichte, bei dem sensible Informationen von etwa 1,3 Milliarden Personen offengelegt wurden. Eine falsch konfigurierte Datenbank ermöglichte unbefugten Zugriff auf hochdetaillierte persönliche Datensätze, einschließlich vollständiger Namen, physischer Adressen, Geburtsdaten, Sozialversicherungsnummern, Telefonnummern und E-Mail-Adressen. Insgesamt wurden bei diesem Datenleck fast 2,9 Milliarden Datensätze kompromittiert.

Die offengelegten Daten bargen ernsthafte Risiken für Identitätsdiebstahl und Betrug, was innerhalb weniger Monate zum Zusammenbruch des Betriebs von NPD führte. Untersuchungen ergaben, dass es dem Unternehmen an grundlegenden Sicherheitsmaßnahmen wie ordnungsgemäßen Datenbank-Zugriffskontrollen und regelmäßigen Schwachstellenbewertungen mangelte. Das Ereignis entfachte die öffentliche Debatte über die Regulierung und Aufsicht von Datenbrokern neu, die massive Mengen an personenbezogenen Daten ohne ausreichende Sicherheitsauflagen verarbeiten.

Präventionsmethoden:

• Implementierung strenger Zugriffskontrollen und Authentifizierungsmechanismen für sensible Datenbanken
• Regelmäßige Überprüfung und Tests von Systemen auf Schwachstellen und Fehlkonfigurationen
• Verschlüsselung persönlicher Daten im Ruhezustand und bei der Übertragung, um das Expositionsrisiko zu minimieren

3.3 Real Estate Wealth Network Datenleck (2023)#

Im September 2023 erlitt das Real Estate Wealth Network (REWN), ein Aggregator für Immobiliendaten, ein massives Datenleck aufgrund einer ungesicherten Datenbank, die ohne Authentifizierung über das Internet zugänglich war. Es wurde auf etwa 1,5 Milliarden Datensätze zugegriffen, darunter Namen, Privatadressen, Eigentumsnachweise, Telefonnummern und sensible immobilienbezogene Details, die bekannte Persönlichkeiten des öffentlichen Lebens und Prominente betrafen.

Das Datenleck zog erhebliche mediale Aufmerksamkeit auf sich, da der Immobilienbesitz von hochkarätigen Personen offengelegt wurde, was Bedenken hinsichtlich der persönlichen Sicherheit und gezielter Angriffe aufwarf. Experten kritisierten REWN dafür, grundlegende Cybersicherheitsprotokolle wie Datenbank-Authentifizierung, Verschlüsselung und Zugriffsprotokollierung nicht implementiert zu haben.

Präventionsmethoden:

• Anforderung einer Authentifizierung für alle Datenbanken, selbst für solche mit öffentlich zugänglichen Daten
• Durchführung regelmäßiger Penetrationstests und Sicherheitsaudits
• Kontinuierliche Überwachung exponierter Ressourcen, um Fehlkonfigurationen frühzeitig zu erkennen

3.4 Facebook Datenleck (2019/2021)#

Im Jahr 2019 nutzten Cyberkriminelle die Kontaktimport-Funktion von Facebook aus, um persönliche Daten von etwa 533 Millionen Nutzern in 106 Ländern zu scrapen. Obwohl Facebook das massenhafte Daten-Scraping im Laufe des Jahres einschränkte, tauchte der zusammengestellte Datensatz im April 2021 öffentlich wieder auf, als er auf einem Hacking-Forum zum kostenlosen Zugriff gepostet wurde.

Im Gegensatz zu einem klassischen Datenleck, bei dem Angreifer direkt auf interne Systeme zugreifen, handelte es sich bei diesem Vorfall um eine massenhafte, automatisierte Datenerfassung unter Verwendung verfügbarer Plattformfunktionen. Der geleakte Datensatz enthielt Namen, Telefonnummern, E-Mail-Adressen und Standortinformationen, was ernsthafte Risiken für Phishing, SIM-Swapping-Angriffe und andere Formen der Identitätsausnutzung schuf. Facebook sah sich massiver Kritik ausgesetzt, weil es die Auswirkungen der gescrapten Daten unterschätzt hatte und langsam auf die Offenlegung reagierte.

Präventionsmethoden:

• Begrenzung der Datenexposition durch strengere API- und Funktionszugriffskontrollen
• Überwachung auf ungewöhnliches Scraping-Verhalten mithilfe automatisierter Erkennungstools
• Proaktive Benachrichtigung von Nutzern und Regulierungsbehörden bei groß angelegtem Daten-Scraping

3.5 LinkedIn Datenleck (2021)#

Im Juni 2021 erlebte LinkedIn einen großen Daten-Scraping-Vorfall, bei dem Informationen von rund 700 Millionen Nutzern offengelegt wurden (etwa 92 % der damaligen Nutzerbasis). Angreifer nutzten die LinkedIn-API, um systematisch öffentliche Profilinformationen zu sammeln, darunter Namen, E-Mails, Telefonnummern, Geolokalisierungsdaten und berufliche Werdegänge. Der gescrapte Datensatz wurde später in einem Darknet-Forum zum Verkauf angeboten.

Während LinkedIn behauptete, dass keine privaten Daten verletzt wurden und die Informationen öffentlich einsehbar waren, betonten Cybersicherheitsexperten, dass das Volumen und die Aggregation von Daten dennoch erhebliche Risiken für gezieltes Phishing, Social Engineering und Identitätsdiebstahl darstellten. Der Vorfall verdeutlichte die verschwimmende Grenze zwischen dem Scraping „öffentlicher“ Daten und schwerwiegenden Datenschutzverletzungen bei Aggregation in großem Maßstab.

Präventionsmethoden:

• Implementierung von Rate Limiting und CAPTCHA-Schutzmaßnahmen für APIs, um automatisiertes Scraping abzuschrecken
• Verbesserung von Systemen zur Anomalie-Erkennung, um umfangreiche Datenerfassungen zu identifizieren
• Aufklärung der Nutzer über die Einschränkung öffentlich sichtbarer Informationen in ihren Profilen

3.6 Exactis Datenleck (2018)#

Im Juni 2018 legte Exactis, ein US-amerikanisches Datenaggregations- und Marketingunternehmen, versehentlich eine Datenbank mit etwa 340 Millionen Datensätzen von Einzelpersonen und Unternehmen offen. Das Datenleck wurde von einem Sicherheitsforscher entdeckt, der feststellte, dass die Datenbank ohne Passwortschutz online zugänglich war. Die offengelegten Daten umfassten Namen, Privatadressen, Telefonnummern, E-Mail-Adressen und hochdetaillierte persönliche Attribute wie Interessen, Gewohnheiten und Finanzinformationen.

Obwohl es keine Bestätigung gab, dass böswillige Akteure auf die Daten zugegriffen haben, bevor sie gesichert wurden, bargen die Breite und Granularität der geleakten Informationen hohe Risiken für Identitätsdiebstahl, Phishing und andere gezielte Angriffe. Der Vorfall lenkte die Aufmerksamkeit auf die weitgehend unregulierten Praktiken von Datenbrokern und befeuerte Forderungen nach strengeren Datenschutzgesetzen in den Vereinigten Staaten.

Präventionsmethoden:

• Strikte Authentifizierungsanforderung für den Datenbankzugriff
• Begrenzung der Menge der erfassten und gespeicherten sensiblen personenbezogenen Daten
• Durchführung regelmäßiger Audits und Sicherheitsüberprüfungen, um angemessene Datenschutzmaßnahmen sicherzustellen

3.7 First American Financial Corporation Datenleck (2019)#

Im Mai 2019 legte die First American Financial Corporation, einer der größten Anbieter von Eigentums-Versicherungen und Abwicklungsdienstleistungen in den USA, durch eine Website-Schwachstelle etwa 885 Millionen sensible Datensätze offen. Aufgrund fehlerhafter Zugriffskontrollen konnte jeder mit einem gültigen URL-Link zu einem Dokument ohne Authentifizierung andere, nicht zusammenhängende Dokumente einsehen, indem einfach Ziffern in der URL geändert wurden.

Die geleakten Dokumente enthielten kritische finanzielle und persönliche Informationen wie Sozialversicherungsnummern, Bankkontodetails, Hypothekenunterlagen und Steuerdokumente, wodurch Kunden einem erheblichen Risiko von Betrug und Identitätsdiebstahl ausgesetzt waren. Das Datenleck war angesichts der hochsensiblen Natur von Immobilientransaktionsdaten besonders alarmierend und unterstrich erhebliche Lücken in den Webanwendungssicherheitspraktiken im Finanzsektor.

Präventionsmethoden:

• Implementierung robuster Zugriffskontrollen und Authentifizierungsprüfungen für Dokumenten-Repositories
• Durchführung gründlicher Sicherheitstests (z. B. Penetrationstests) vor der öffentlichen Bereitstellung von Anwendungen
• Überwachung und Auditierung von Anwendungszugriffsmustern, um abnormales Verhalten frühzeitig zu erkennen

3.8 Ticketmaster Datenleck (2024)#

Im Mai 2024 erlitt Ticketmaster, eines der weltweit größten Ticketing-Unternehmen, ein massives Datenleck, von dem rund 560 Millionen Kunden weltweit betroffen waren, mit einem erheblichen Anteil in den Vereinigten Staaten. Berichten zufolge verschafften sich Angreifer unbefugten Zugang über eine kompromittierte Cloud-Speicherumgebung eines Drittanbieters und legten Kundennamen, Wohn- und E-Mail-Adressen, Telefonnummern sowie in einigen Fällen teilweise Details von Zahlungskarten offen.

Das Datenleck fachte die Bedenken hinsichtlich der Risiken durch Drittanbieter und Cloud-Sicherheit neu an, insbesondere bei großen Verbraucherplattformen, die Finanztransaktionen abwickeln. Es warf auch Fragen zur Einhaltung moderner Datenschutzstandards wie PCI DSS und DSGVO durch das Unternehmen auf. Nach dem Vorfall sah sich Ticketmaster mit mehreren Sammelklagen und behördlichen Untersuchungen konfrontiert.

Präventionsmethoden:

• Stärkung des Vendor Risk Managements und regelmäßige Auditierung von Drittanbietern
• Verschlüsselung aller gespeicherten Kundeninformationen, insbesondere Zahlungs-bezogener Daten
• Implementierung von Zero-Trust-Zugriffsmodellen für Cloud-Umgebungen, um die Angriffsfläche zu minimieren

3.9 MySpace Datenleck (2016)#

Im Mai 2016 bot ein Hacker namens „Peace“ eine große Menge an MySpace-Nutzerdaten im Darknet zum Verkauf an, die etwa 427 Millionen Konten umfassten. Obwohl die Daten offenbar aus einem Datenleck stammten, das 2013 oder früher stattgefunden hatte, wurde es erst Jahre später entdeckt. Die offengelegten Datensätze enthielten Benutzernamen, E-Mail-Adressen und Passwörter, die nur schwach mit unsalted SHA-1 Hashing geschützt waren, was sie sehr anfällig für das Knacken machte.

Obwohl MySpace zum Zeitpunkt der Bekanntgabe des Datenlecks bereits an Popularität verloren hatte, barg der Vorfall dennoch Risiken, da viele Nutzer Passwörter auf mehreren Plattformen wiederverwendeten. Infolgedessen konnten die Zugangsdaten aus dem MySpace-Datenleck für Credential-Stuffing-Angriffe auf anderen Diensten verwendet werden. Das Ereignis verdeutlichte die kritische Notwendigkeit starker Praktiken beim Passwort-Hashing und einer rechtzeitigen Erkennung von Datenlecks.

Präventionsmethoden:

• Verwendung moderner, sicherer Passwort-Hashing-Algorithmen wie bcrypt oder Argon2
• Regelmäßige Aktualisierung kryptografischer Praktiken und Abkehr von veralteten Algorithmen
• Überwachung auf geleakte Anmeldedaten und Aufforderung an Nutzer, Passwörter nach Datenlecks umgehend zurückzusetzen

3.10 JPMorgan Chase Datenleck (2014)#

Im Jahr 2014 deckte JPMorgan Chase eines der bedeutendsten Datenlecks auf, das jemals den US-Finanzsektor getroffen hat. Es betraf etwa 76 Millionen Haushalte und 7 Millionen kleine Unternehmen. Angreifer verschafften sich über ein kompromittiertes Mitarbeiterkonto Zugriff und nutzten Schwachstellen in der Netzwerkinfrastruktur der Bank aus. Obwohl keine finanziellen Informationen wie Kontonummern, Passwörter oder Sozialversicherungsnummern gestohlen wurden, erlangten die Angreifer Namen, Adressen, E-Mail-Adressen und Telefonnummern.

Das Datenleck zog aufgrund der kritischen Rolle der Bank in der US-Wirtschaft große Aufmerksamkeit auf sich und löste in der gesamten Branche der Finanzdienstleistungen Alarm hinsichtlich der Cybersicherheitsbereitschaft aus. Es führte zu einer verschärften regulatorischen Aufsicht und veranlasste viele Finanzinstitute, ihre Cybersicherheits-Frameworks neu zu bewerten, insbesondere in Bezug auf den Schutz von Mitarbeiterkonten und die Netzwerksegmentierung.

Präventionsmethoden:

• Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für alle internen und externen Konten
• Implementierung robuster Netzwerksegmentierung, um laterale Bewegungen im Falle einer Kompromittierung einzuschränken
• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsprotokolle für das Zugriffsmanagement von Mitarbeitern

4. Trends bei Datenlecks in den USA#

Wenn wir uns die größten Datenlecks ansehen, die bis 2025 in den USA aufgetreten sind, fallen uns einige wiederkehrende Beobachtungen bei diesen Vorfällen auf:

4.1 Grundlegende Fehlkonfigurationen sind so problematisch wie komplexe Cyberangriffe#

Ein gemeinsamer Faden bei vielen der größten Datenlecks ist, dass sie nicht das Ergebnis hochentwickelter Angriffe waren, sondern auf grundlegende Fehlkonfigurationen und übersehene Schwachstellen zurückzuführen sind. Offene Datenbanken ohne Passwortschutz, schwache Zugriffskontrollen und unzureichend gesicherte APIs boten Angreifern wiederholt einen leichten Einstieg. In Fällen wie den Datenlecks bei National Public Data und Real Estate Wealth Network reichte es aus, das Internet nach ungesicherten Systemen zu scannen, um Zugriff auf Milliarden von Datensätzen zu erlangen. Dies verdeutlicht, dass Investitionen in grundlegende Cybersicherheitshygiene, wie Zugriffskontrollen, angemessene Verschlüsselung und Systemhärtung, viele dieser Vorfälle verhindert hätten.

4.2 Persönliche Informationen sind das Hauptziel#

Ein weiterer bemerkenswerter Trend ist die konsequente Ausrichtung auf und die Offenlegung von sensiblen persönlichen Informationen. Bei nahezu allen Datenlecks umfassten die Datensätze Namen, Adressen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und in den schädlichsten Fällen Sozialversicherungsnummern. Die Breite der offengelegten persönlichen Details erhöht das Risiko von Identitätsdiebstahl, Phishing-Angriffen und Finanzbetrug dramatisch. Beispielsweise ist die Implementierung starker Passwortrichtlinien und Zugriffskontrollen entscheidend für die Betrugsprävention in gemeinnützigen Organisationen. Unternehmen, selbst solche außerhalb regulierter Branchen wie Finanzen oder Gesundheitswesen, müssen die Erfassung personenbezogener Daten mit den höchsten Sicherheitsstandards behandeln, da ihr Wert für Angreifer anhaltend hoch bleibt.

4.3 Schwacher Passwortschutz und Kryptografie#

Schlechte Praktiken im Passwortmanagement und veraltete kryptografische Schutzmaßnahmen verschlimmerten die Folgen mehrerer Datenlecks zusätzlich. Bei Vorfällen wie Yahoo und MySpace wurden Passwörter entweder mithilfe schwacher Hashing-Algorithmen wie MD5 und SHA-1 gespeichert oder unzureichend gesalzen, was sie nach dem Diebstahl leicht knackbar machte. Dies vergrößerte die Auswirkungen erheblich, da Angreifer Passwörter durch Credential Stuffing für andere Dienste wiederverwenden konnten. Selbst wenn Passwörter gestohlen werden, können robuste Verschlüsselungsmethoden und moderne kryptografische Standards das nachgelagerte Risiko für Nutzer und Unternehmen stark begrenzen.

4.4 API-Ausnutzung und Massen-Scraping von Daten#

Eine wichtige Entwicklung bei den Taktiken für Datenlecks ist die zunehmende Abhängigkeit von der Ausnutzung von APIs und dem Scraping von Daten anstelle klassischer Hacking-Techniken. Datenlecks bei LinkedIn und Facebook haben gezeigt, dass Angreifer zunehmend unzureichend gesicherte APIs oder öffentlich zugängliche Funktionen ausnutzen, um große Mengen an Nutzerdaten abzugreifen. Während Unternehmen das Scraping oft herunterspielen, indem sie auf die öffentliche Natur der Daten verweisen, kann die Aggregation und Kombination von gescrapten Informationen mächtige, gefährliche Datenbanken schaffen. Dieser Trend unterstreicht die Notwendigkeit für Unternehmen, striktes Rate Limiting, Überwachung und Authentifizierungskontrollen auf alle APIs und öffentlichen Schnittstellen anzuwenden und diese mit der gleichen Strenge wie Backend-Systeme zu behandeln.

5. Fazit#

Die größten Datenlecks in der US-Geschichte zeigen ein klares und konsistentes Muster: Die meisten Vorfälle waren vermeidbar. Anstatt das Ergebnis hochentwickelter Cyberangriffe zu sein, resultierten viele Datenlecks aus grundlegenden Fehlern: ungesicherten Datenbanken, veralteten kryptografischen Standards, unzureichendem API-Schutz und der Unterschätzung des Werts persönlicher Informationen. Diese Fehler ermöglichten es Angreifern, relativ leicht auf massive Volumen sensibler Daten zuzugreifen und Personen Risiken wie Identitätsdiebstahl, Finanzbetrug und gezielten Angriffen auszusetzen.

Für Organisationen aller Größen und Branchen sind die Lehren klar, dass grundlegende Cybersicherheit nicht vernachlässigt werden darf. Die Sicherung personenbezogener Daten erfordert nicht nur starke technische Maßnahmen, sondern auch einen proaktiven Ansatz bei der Systemkonfiguration, kryptografischen Standards, dem Vendor Risk Management und der Erkennung von Datenlecks. Mit der exponentiell wachsenden Menge an erfassten Daten wächst auch die Verantwortung, diese zu schützen.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Warum wurden die Sicherheitspraktiken von Yahoo während des Datenlecks 2013-2016 als unzureichend eingestuft?#

Yahoo speicherte Passwörter mithilfe von MD5, einem kryptografisch schwachen Algorithmus, und bewahrte Sicherheitsfragen und -antworten völlig unverschlüsselt auf. Das Datenleck wurde mit staatlich unterstützten Akteuren, vermutlich russischen Agenten, in Verbindung gebracht. Yahoo sah sich schwerer Kritik wegen der verzögerten öffentlichen Bekanntgabe ausgesetzt und enthüllte das volle Ausmaß erst 2016, obwohl die Datenlecks Jahre zuvor auftraten.

Wie konnte das Datenleck bei National Public Data Milliarden von Datensätzen ohne einen komplexen Cyberangriff offenlegen?#

Eine falsch konfigurierte Datenbank bei National Public Data ermöglichte im März 2024 unbefugten Zugriff ohne jegliche Authentifizierung. Dem Unternehmen fehlte es an grundlegenden Sicherheitsmaßnahmen, einschließlich angemessener Zugriffskontrollen für die Datenbank und regelmäßiger Schwachstellenbewertungen. Das Datenleck führte zu fast 2,9 Milliarden kompromittierten Datensätzen und bewirkte innerhalb von Monaten den direkten Zusammenbruch des operativen Geschäfts von NPD.

Warum gilt API-Scraping als ernstes Risiko für Datenlecks, selbst wenn gescrapte Daten technisch gesehen öffentlich sind?#

Angreifer nutzen schlecht gesicherte APIs aus, um Daten in massivem Umfang abzugreifen, wie die Datenlecks bei LinkedIn (700 Millionen Nutzer, etwa 92 % der Nutzerbasis) und Facebook (533 Millionen Nutzer) zeigten. Die Aggregation von einzeln zugänglichen, öffentlichen Datenpunkten erstellt detaillierte persönliche Profile, die Phishing, SIM-Swapping und Identitätsdiebstahl in großem Maßstab ermöglichen.

Welche Fehler beim Passwort-Hashing verschlimmerten die nachgelagerten Auswirkungen der Datenlecks bei Yahoo und MySpace?#

Yahoo verwendete MD5-Hashing und MySpace unsalted SHA-1, beides kryptografisch schwache Standards. Diese Methoden machten gestohlene Anmeldedaten leicht knackbar und ermöglichten es Angreifern, Credential-Stuffing-Angriffe auf anderen Plattformen durchzuführen, auf denen Nutzer ihre Passwörter wiederverwendeten. Moderne Algorithmen wie bcrypt oder Argon2 würden dieses nachgelagerte Risiko deutlich reduzieren.

Wie erhöht die zersplitterte regulatorische Landschaft der USA die Anfälligkeit von Unternehmen für Datenlecks?#

Der Flickenteppich aus bundesstaatlichen und branchenspezifischen Vorschriften in den USA schafft inkonsistente Cybersicherheitsstandards, was Lücken beim Datenschutz und der Durchsetzung hinterlässt. Im Vergleich zu Ländern mit einheitlichen, strengen Vorschriften senkt dieser Ansatz die Hürden für Cyberkriminelle, Schwachstellen zu identifizieren und auszunutzen. Datenbroker wie NPD und Exactis operierten mit minimalen Sicherheitsauflagen, obwohl sie im Besitz von Milliarden sensibler personenbezogener Datensätze waren.