1. Juni 2025 – Der Tag, an dem das Internet blutete

Um exakt 02:17 Uhr UTC am 1. Juni 2025 erschien ein Beitrag in einem berüchtigten Darknet-Forum. Der Nutzer, verborgen hinter dem Pseudonym „X_Zero“, schrieb:

„16 Milliarden Zugangsdaten. Frische Logs. Keine Duplikate. RockYou2025. Mirror 1 ist live. Ihr wisst, was zu tun ist.“

Kurz. Kryptisch. Katastrophal.

Innerhalb von Minuten schlugen Cybersicherheitsforscher bei Hudson Rock und Cybernews Alarm. Um 04:00 Uhr UTC war es bestätigt: Der größte Passwort-Leak der Geschichte war Realität geworden. Dreißig Datensätze. Über 16 Milliarden Zugangsdaten. Und das Schlimmste: Sie waren frisch.

Die Anatomie des Leaks

Der Dump, getauft auf den Namen RockYou2025, war eine düstere Weiterentwicklung seiner Vorgänger RockYou2021 und RockYou2024. Doch diesmal war alles anders: Die Daten waren sauber, strukturiert und brandgefährlich. Jeder Eintrag enthielt:

• Eine URL oder Domain

• Einen Benutzernamen oder eine E-Mail-Adresse

• Ein Klartext-Passwort

• In vielen Fällen auch Geräteinformationen und Zeitstempel

Die Daten wurden mithilfe von Infostealer-Malware wie RedLine, Raccoon und Vidar gesammelt — Schadsoftware, die sich über Phishing-Mails, gecrackte Software oder manipulierte Browser-Erweiterungen verbreitet. Einmal installiert, saugt sie heimlich Zugangsdaten, Cookies, Krypto-Wallets und mehr ab und überträgt sie an Server von Cyberkriminellen.

Das Ausmaß der Katastrophe

Noch vor Sonnenaufgang in Europa verbreitete sich der Leak wie ein Lauffeuer. Analysten bestätigten, dass nahezu jede große Plattform betroffen war:

• Google, Apple, Facebook, Telegram, GitHub — alle kompromittiert

• Bankportale, Regierungsseiten, Gesundheitssysteme — durchlässig

• Firmen-VPNs und interne Tools — offengelegt

Besonders beunruhigend: Viele der Zugangsdaten waren weniger als 90 Tage alt, was darauf hindeutet, dass die Malware-Kampagnen noch aktiv waren — und weiter sammelten.

Die Urheber: Ein digitales Hydra

Im Gegensatz zu früheren Mega-Leaks, die oft einer einzigen Gruppe zugeordnet werden konnten, trug RockYou2025 die Handschrift mehrerer Akteure. Der Leak wirkte wie ein konsolidiertes Archiv — zusammengesetzt aus:

• Infostealer-Logs

• Credential-Stuffing-Listen

• Neu verpackten Daten aus kleineren Leaks

• Möglicherweise sogar staatlich unterstützten Spionagekampagnen

Ein Name tauchte immer wieder auf: APT36, auch bekannt als Transparent Tribe — eine pakistanisch verortete Gruppe mit einer Vorgeschichte gezielter Angriffe auf indische Infrastrukturen. Zwar nicht direkt mit dem Leak in Verbindung gebracht, doch ihre Aktivitäten im Frühjahr 2025 warfen Fragen auf.

Ein digitales Tschernobyl

Noch am selben Tag veröffentlichte das FBI eine Eilmeldung. Google rief zur Nutzung von Passkeys auf. Passwortmanager wie Bitwarden und 1Password verzeichneten einen Nutzeranstieg von über 400 %. Doch der Schaden war bereits angerichtet.

Am Morgen des 2. Juni 2025 war das Internet nicht mehr dasselbe.

IT-Abteilungen weltweit wurden in Alarmbereitschaft versetzt. Regierungen aktivierten Notfallprotokolle. Millionen von Nutzern — von Schülern bis zu CEOs — erhielten Benachrichtigungen über kompromittierte Konten. Der RockYou2025-Leak, nun bestätigt mit über 16 Milliarden eindeutigen Zugangsdaten, hatte sich wie ein digitaler Flächenbrand ausgebreitet.

Die globale Reaktion

Bereits um 08:00 UTC veröffentlichte das FBI eine Eilmeldung: Die Gefahr von Credential-Stuffing-Angriffen sei „unmittelbar und massiv“. Noch am selben Tag begannen Google, Apple und Microsoft, ihre Nutzer zur Umstellung auf Passkeys zu drängen — eine passwortlose Authentifizierungsmethode, die Phishing und Wiederverwendung verhindern soll.

Bis zum 3. Juni meldeten Bitwarden, 1Password und NordPass einen Anstieg der Neuregistrierungen um über 400 %. Telegram und GitHub begannen, verdächtige Konten zu sperren. Banken in Europa und Asien setzten Online-Zugänge vorübergehend aus, um Massen-Resets durchzuführen.

Die Hauptziele

Die Liste der betroffenen Organisationen war erschütternd:

• Samsung Galaxy: 800 Millionen Zugangsdaten kompromittiert

• PowerSchool: 62 Millionen Bildungsdatensätze geleakt

• Marokkos Sozialversicherungsfonds: 2 Millionen Identitäten offengelegt

• Telegram & GitHub: Entwickler- und Kommunikationsplattformen betroffen

• Regierungsportale: u. a. in Indien, Brasilien und der EU kompromittiert

Sogar Logins von Rüstungsunternehmen und Gesundheitsdatenbanken tauchten in den Datensätzen auf — ein düsteres Signal, dass keine Branche sicher war.

Wer steckt dahinter?

Digitale Forensiker analysierten die Ursprünge des Leaks: Es handelte sich um eine konsolidierte Sammlung aus Infostealer-Logs, Credential-Stuffing-Listen und bisher unveröffentlichten Datenlecks. Die Malware — RedLine, Raccoon und Vidar — war über Monate hinweg aktiv gewesen, versteckt in Raubkopien, gefälschten Browser-Add-ons und Phishing-Kampagnen.

Zwar bekannte sich keine Gruppe offiziell zum Leak, doch die Spuren führten zu mehreren bekannten Akteuren. Besonders auffällig: APT36, auch bekannt als Transparent Tribe — eine pakistanisch verortete Gruppe mit Verbindungen zu staatlich unterstützter Spionage. Ihre Aktivitäten im Mai 2025, kurz nach geopolitischen Spannungen in Kaschmir, ließen viele Experten vermuten, dass sie die Situation gezielt ausnutzten.

Ein Wendepunkt

Bis zum 10. Juni war die Cybersicherheitswelt im Ausnahmezustand. Unternehmen führten Massen-Resets durch. Regierungen gründeten Krisenstäbe. Und die Öffentlichkeit — viele zum ersten Mal — erkannte, wie fragil ihre digitale Identität wirklich war.

RockYou2025 war kein gewöhnlicher Leak. Es war ein Weckruf. Ein brutales Signal, dass in einer Welt voller Wiederverwendung und Bequemlichkeit ein einziges Passwort zur Waffe werden kann.

Quellen

• Cybernews report on RockYou2025

• BreachDirectory analysis of RockYou.txt

• GitHub repository of RockYou.txt wordlist