Forscher fanden 19,6 Milliarden Dateien offen in öffentlichen Cloud-Buckets, ganz ohne Passwort
Am 28. Mai 2026 berichtete Security Affairs über eine Studie von Mysterium VPN, die 19,6 Milliarden Dateien in 535.480 öffentlich auflistbaren Cloud-Buckets offen vorfand, darunter jeweils mehr als eine Million Dateien mit den Namen „password“ und „passport“. Die Dateien waren für jeden erreichbar, ohne Login. Browserbasierte Werkzeuge legen eine Datei erst gar nicht in einem Bucket ab.
VaultTools · 2. Juni 2026
Foto auf Unsplash
Inhaltsverzeichnis
- Was die Forscher fanden
- Wie die Dateien offengelegt wurden
- Was offen im Netz liegt
- Ein Konfigurationsfehler, kein Hack
- Warum das wichtig ist
- Quellen
Was die Forscher fanden
Am 28. Mai 2026 berichtete Security Affairs über eine Studie von Mysterium VPN, die die öffentliche Seite des weltweiten Cloud-Speichers untersuchte. Die Forscher zählten 19,6 Milliarden Dateien in 535.480 öffentlich auflistbaren Cloud-Buckets. Keine dieser Dateien erforderte ein Passwort, ein Login oder einen Exploit, um sie zu lesen. Jede Person, die die Adresse fand, konnte sie öffnen.
Das ist kein einzelnes Datenleck eines einzelnen Unternehmens. Es ist eine Momentaufnahme davon, wie viele sensible Daten zu jedem Zeitpunkt im Netz erreichbar sind, verteilt auf Tausende von Organisationen, die alle denselben kleinen Fehler gemacht haben.
Wie die Dateien offengelegt wurden
Die Dateien lagen in Cloud-Buckets, also den Speichercontainern von Diensten wie Amazon S3, Google Cloud, Azure, DigitalOcean und Alibaba. Laut dem Bericht lagen rund zwei Drittel des offengelegten Speichers bei Amazon Web Services.
Ein Bucket ist standardmäßig privat, doch eine einzige Einstellung öffnet ihn für die Öffentlichkeit. Geschieht das, wird jede Datei darin zu einer Webadresse, die jeder abrufen kann. Das Team von Mysterium VPN ist in nichts eingedrungen. Es analysierte die Bucket-Metadaten aus dem März 2026 und sortierte die Dateien nach Typ und Namen, ohne die Inhalte herunterzuladen. Die Offenlegung war bereits da, für jeden sichtbar.
Was offen im Netz liegt
Die Studie blieb nicht bei einer bloßen Zählung stehen, sondern ordnete ein, worum es sich bei diesen Dateien tatsächlich handelte. Die Ergebnisse zeichnen einen Querschnitt der sensibelsten Daten, die eine Organisation besitzt.
- 685.047 Anmelde- und Schlüsseldateien, darunter
.env-Dateien, private Schlüssel und Passwort-Tresore - 985.645
.sql-Dateien und 733.040.bak-Dateien, also Datenbank-Dumps und Backups mit ganzen Nutzertabellen - 764.015 Dateien mit „secret“ im Namen, 250.563 mit „salary“, 195.475 mit „kyc“ und 124.967 mit „credentials“
- jeweils mehr als eine Million Dateien mit den Namen „password“, „passport“, „invoice“ und „backup“
Ein Datenbank-Dump in einem offenen Bucket, so der Bericht, sind dieselben Daten ohne jeden Schutz, mit einem Klick herunterladbar und für immer auswertbar.
Ein Konfigurationsfehler, kein Hack
Der rote Faden durch jede dieser Dateien ist, dass kein Angreifer nötig war. Es gab keinen gestohlenen Login, keine Software-Schwachstelle, keine Ransomware. Jede Offenlegung entstand durch einen Speichercontainer, der privat sein sollte und öffentlich blieb.
Das ist dieselbe Fehlerart wie bei den jüngsten Pass-Lecks beim japanischen Hotel-Dienstleister Tabiq, beim externen UK Visa Portal und bei der Auslandsstudium-Plattform Leverage Edu. Der Unterschied hier ist das Ausmaß. Diese Studie zeigt, dass das Muster nicht eine Handvoll glückloser Unternehmen betrifft. Es ist ein struktureller Zustand dessen, wie Dateien gespeichert werden, sobald sie ein Gerät verlassen.
Warum das wichtig ist
Jede dieser 19,6 Milliarden Dateien wurde irgendwo hochgeladen. Eine Person schickte einen Passscan, um ein Konto zu verifizieren, ein Unternehmen schob ein Backup in die Cloud, eine Entwicklerin spielte eine Datei mit Geheimnissen ein. In dem Moment, in dem eine Datei in einem Bucket landet, hängt ihre Sicherheit davon ab, dass eine Einstellung korrekt bleibt, dass eine Backup-Regel eng bleibt und dass niemand mit Zugriff je einen Fehler macht. Die Studie zeigt, wie oft diese Kette reißt.
Werkzeuge, die Dateien lokal verarbeiten, sparen sich den Upload ganz. Mit VaultTools wird ein Passscan, ein Kontoauszug oder ein PDF in Ihrem Browser verarbeitet, und die Bytes wandern nie zu einem Server. Sie können einen Ausweis zuschneiden, ein Dokument komprimieren, Metadaten entfernen oder ein PDF zusammenführen, ohne dass je eine Datei Ihr Gerät verlässt. Es gibt keinen Bucket, der falsch konfiguriert werden kann, kein Backup, das lecken kann, und keinen Dritten, dem man vertrauen muss. Eine Datei, die nie hochgeladen wird, kann nicht in einem offenen Bucket landen.