Cybersecurity-onderzoekers bij Synthient hebben een verzameling van 183 miljoen e-mailwachtwoorden ontdekt, waaronder miljoenen van Gmail-accounts, die openbaar zijn gemaakt via infostealer-malwarecampagnes. De gegevens verschenen op 21 oktober 2025 in de Have I Been Pwned-database als gevolg van monitoring van ondergrondse kanalen, wat een van de grootste lekken van inloggegevens van het jaar markeerde. Google heeft het incident publiekelijk aangepakt en claims van een directe inbreuk op de beveiliging van Gmail afgewezen. In een verklaring op sociale media verklaarde het bedrijf dat “rapporten over een ‘Gmail-beveiligingsinbreuk die gevolgen heeft voor miljoenen gebruikers’ vals zijn.” Ambtenaren benadrukten dat de gecompromitteerde inloggegevens afkomstig waren van malware-infecties op de apparaten van individuele gebruikers, en niet van een kwetsbaarheid in de serverinfrastructuur van Gmail. Dit onderscheid benadrukt hoe de gegevens werden verzameld via aanhoudende bedreigingen die gericht waren op eindgebruikerssystemen in plaats van via gecentraliseerde servicestoringen. De dataset is het resultaat van bijna een jaar intensieve monitoring door Synthient, een cyberbeveiligingsbedrijf dat zich richt op het volgen van infostealer-activiteiten. Onderzoekers hebben waargenomen dat inloggegevens worden gedeeld en verkocht op platforms zoals Telegram, verschillende sociale-mediasites en dark web-forums. Deze ondergrondse netwerken dienen als knooppunten waar cybercriminelen gestolen informatie uitwisselen die is verkregen van geïnfecteerde machines over de hele wereld. Troy Hunt, de maker en onderhouder van de Have I Been Pwned-service, geanalyseerd de inzending en bevestigde de omvang ervan, waarbij werd opgemerkt dat het 3,5 terabyte aan gegevens omvat, met in totaal 23 miljard records. Om de inhoud te verifiëren, nam Hunt contact op met de in het lek genoemde gebruikers. Eén getroffen abonnee reageerde bevestigend en stelde dat de gelekte informatie overeenkwam met “een nauwkeurig wachtwoord voor mijn Gmail-account”. Dit verificatieproces omvatte het vergelijken van details met bekende inbreuken en gebruikersrapporten, waardoor de legitimiteit van de dataset werd gewaarborgd. De records zelf bestaan uit specifieke elementen die zijn vastgelegd tijdens gebruikersinteracties: website-URL’s waar logins hebben plaatsgevonden, bijbehorende e-mailadressen en de bijbehorende wachtwoorden die op die sites zijn ingevoerd. Al deze informatie werd automatisch verzameld van apparaten die al door malware waren aangetast, vaak tijdens routinematige online activiteiten zoals het checken van e-mail of het bezoeken van bankportals. Analyse van de dataset onthult patronen in de blootstellingsgeschiedenis. Precies 91 procent van de inloggegevens was opgedoken bij eerdere datalekken die elders waren gedocumenteerd. Daarentegen vertegenwoordigden ongeveer 16,4 miljoen e-mailadressen volledig nieuwe inzendingen, die nog nooit eerder in gegevens over inbreuken waren geïdentificeerd. De opname van momenteel actieve wachtwoorden verhoogt de kans op aanvallen waarbij de inloggegevens worden gevuld, waarbij aanvallers deze geldige combinaties gebruiken om ongeautoriseerde toegang te proberen op talloze platforms, waarbij gebruik wordt gemaakt van het hergebruik van inloggegevens tussen services. Infostealer-malware heeft zich verspreid als een belangrijke bedreigingsvector. Onderzoekers registreerden alleen al in de eerste zes maanden van 2025 een stijging van 800 procent in het aantal gestolen inloggegevens. Deze programma’s functioneren heimelijk op geïnfecteerde systemen en extraheren methodisch gevoelige gegevens, waaronder inloggegevens, opgeslagen browserinformatie en actieve sessietokens, zonder duidelijke waarschuwingen te activeren. Benjamin Brundage, een onderzoeker bij Synthient, legde uit hoe hun bewakingstools pieken van wel 600 miljoen gestolen inloggegevens registreerden die op één dag werden verwerkt tijdens perioden van verhoogde malware-activiteit. De malware verspreidt zich voornamelijk via misleidende kanalen. Veel voorkomende vectoren zijn onder meer phishing-e-mails die ontvangers ertoe verleiden kwaadaardige bijlagen of links te openen, downloads van ogenschijnlijk legitieme software die is doorspekt met schadelijke code, en browserextensies waarmee is geknoeid om backdoors op te nemen. In veel gevallen blijven infecties gedurende langere perioden onopgemerkt, waardoor langdurige gegevensexfiltratie mogelijk is terwijl gebruikers het normale apparaatgebruik voortzetten. Als reactie hierop beveelt Google specifieke beschermende maatregelen aan voor gebruikers die risico lopen. Het inschakelen van tweestapsverificatie voegt een extra beveiligingslaag toe naast wachtwoorden, waardoor een tweede vorm van authenticatie zoals een mobiele code vereist is. Het bedrijf promoot ook wachtwoordsleutels als een robuust alternatief voor conventionele wachtwoorden, waarbij gebruik wordt gemaakt van cryptografische standaarden voor een betere bescherming tegen phishing en diefstal. Individuen kunnen verifiëren of hun e-mailadressen of inloggegevens in dit lek zijn opgenomen door te zoeken op de Have I Been Pwned-website. Degenen die overeenkomsten vinden, moeten hun wachtwoorden onmiddellijk bijwerken naar unieke, sterke versies en multi-factor authenticatie op alle relevante accounts inschakelen om verdere risico’s te beperken.
