Ein internationales Ermittlerteam hat mit LeakBase eine Plattform aus dem Netz genommen, die innerhalb der Cybercrime-Szene über Jahre hinweg als Umschlagplatz für gestohlene Datensätze und Zugangsdaten galt. Seit Anfang März ist das Forum nicht mehr erreichbar. Wer die Domain aufruft, sieht inzwischen eine Beschlagnahmeseite der Strafverfolger. Die Maßnahme ist Teil einer koordinierten internationalen Operation mehrerer Ermittlungsbehörden. Der Zugriff zeigt erneut, welche Bedeutung solche Plattformen im digitalen Untergrund haben. LeakBase war nicht nur eine Sammelstelle für kompromittierte Daten. Das Forum entwickelte sich auch zu einem Treffpunkt für Akteure der Szene. Wer Zugang zu entsprechenden Datensätzen suchte oder selbst Material anbieten wollte, fand dort über Jahre hinweg eine funktionierende Infrastruktur.
Plattform für gestohlene Zugangsdaten
LeakBase war kein klassischer Marktplatz im Darknet. Stattdessen handelte es sich um ein Forum, das Diskussionen, Austausch und Handel miteinander verband. Nutzer boten Datensätze aus früheren Sicherheitsvorfällen an oder tauschten sich über neue Quellen kompromittierter Zugangsdaten aus. Gleichzeitig entstanden auf diese Weise Kontakte und Netzwerke zwischen verschiedenen Akteuren der Szene. Besonders gefragt waren sogenannte Stealer-Logs. Dabei handelt es sich um Datensätze, die Schadprogramme auf infizierten Rechnern sammeln. Infostealer durchsuchen ein System gezielt nach verwertbaren Informationen – etwa gespeicherten Passwörtern im Browser, Cookies oder anderen Login-Daten. Gelangen solche Informationen in Umlauf, können Angreifer sie häufig direkt nutzen. Mitunter genügt bereits ein gültiges Cookie oder ein gespeicherter Zugang, um fremde Konten zu übernehmen oder weitere Angriffe vorzubereiten. Genau solche Datensätze machten LeakBase für viele Nutzer der Szene interessant.
Mehr als 142.000 registrierte Nutzer
Ein Blick auf die Nutzerzahlen zeigt, welche Größe LeakBase inzwischen erreicht hatte. Nach Angaben der Ermittler registrierten sich dort bis Ende 2025 mehr als 142.000 Accounts. Damit entwickelte sich LeakBase im Laufe der Jahre zu einer festen Anlaufstelle für kompromittierte Datensätze und entsprechende Angebote. Auch innerhalb des Forums herrschte reger Betrieb. Ermittler zählten rund 32.000 Beiträge sowie mehr als 215.000 private Nachrichten zwischen den Mitgliedern der Plattform. Die Zahlen zeigen, dass LeakBase weit mehr war als ein gelegentlich genutztes Forum. Über die Zeit entstand dort ein Netzwerk, in dem Daten gehandelt und Kontakte gepflegt wurden. Gerade diese Mischung aus Handelsplatz und Kommunikationsplattform machte das Forum für Täter attraktiv. Datensätze konnten dort nicht nur angeboten werden. Gleichzeitig bot die Plattform Raum für Absprachen, neue Kooperationen und den Austausch innerhalb der Szene.
Internationale Ermittlungen in mehreren Ländern
Die Maßnahmen gegen LeakBase begannen Anfang März. Am 3. März führten Ermittler in mehreren Ländern gleichzeitig Durchsuchungen und weitere operative Schritte durch. Insgesamt kam es zu rund 100 Maßnahmen, die sich unter anderem gegen 37 besonders aktive Nutzer des Forums richteten. Einen Tag später übernahmen die Behörden schließlich die Kontrolle über die Domain. Seitdem erscheint beim Aufruf der Seite eine Beschlagnahmeseite der Strafverfolger. Für Nutzer der Szene ist die Plattform damit nicht mehr erreichbar. Solche Operationen erfordern meist eine enge Zusammenarbeit zwischen verschiedenen Staaten. Cybercrime-Strukturen agieren international und nutzen Infrastruktur in unterschiedlichen Ländern. Entsprechend müssen auch Ermittlungen häufig über nationale Grenzen hinweg abgestimmt werden.
Ermittler sichern interne Datenbank
Ein wichtiger Schritt war die Sicherstellung der internen Datenbank des Forums. Sie enthält unter anderem Nutzerkonten, Beiträge sowie Kommunikationsdaten zwischen den Mitgliedern der Plattform. Für die Ermittler stellt dieser Datenbestand eine wertvolle Quelle dar. Die Auswertung könnte helfen, weitere Beteiligte zu identifizieren und mögliche Verbindungen zu anderen Cybercrime-Verfahren herzustellen. Erst eine detaillierte Analyse wird zeigen, welche Rolle einzelne Nutzer innerhalb der Plattform tatsächlich gespielt haben. Auch für laufende Ermittlungen kann das Material relevant sein. Wenn Datensätze oder Kommunikationsverläufe eindeutig zugeordnet werden können, ergeben sich daraus häufig neue Ansatzpunkte für weitere Verfahren.
Gestohlene Zugangsdaten bleiben lange im Umlauf
Der Fall LeakBase verdeutlicht ein grundlegendes Problem im Bereich der Cyberkriminalität. Einmal gestohlene Zugangsdaten verschwinden selten schnell aus dem Umlauf. Häufig tauchen sie über Jahre hinweg immer wieder auf verschiedenen Plattformen der Szene auf. Datensätze aus älteren Sicherheitsvorfällen werden gesammelt, neu sortiert und erneut verbreitet. Dadurch entsteht ein Kreislauf kompromittierter Informationen, der es Angreifern erleichtert, auch lange nach einem ursprünglichen Datenleck noch Zugriff auf fremde Konten zu erhalten.
Ich frage mich bei solchen Sachen immer, was die Macher erwartet haben, wenn sie es offen ins Internet stellen. Klar, eine einfache Erreichbarkeit senkt massiv die Einstiegshürde und steigert die Popularität. Aber es zieht auch die Aufmerksamkeit der Strafverfolgungsbehörden auf sich. Und das ist etwas, was man nicht will, wenn man etwas offensichtlich illegales tut. Daher gehe ich davon aus, dass es sich zum Grossteil um Leute handelt, die entweder nicht um die technischen Fähigkeiten und/oder das entsprechend Verständnis der Materie verfügen, um ihre Identität zu verschleiern, oder es ist ihnen schlicht egal. In beiden Fällen ist es dumm unter solchen Voraussetzungen solch eine Plattform zu publizieren.
Darüber hinaus wage ich zu bezweifeln, dass dort wirklich 0-day Credentials etc. verkauft wurden; und falls doch, dann nicht in relevantem Umfang. Für solche Dinge gibt es andere Märkte. Zudem muss alles, was nicht 0-day ist, als potenziell verbrannt und damit nutzlos angesehen werden. Vielleicht handelte es sich bei LeakBase aber auch um einen Honeypot. In dem Fall erwischt man damit aber lediglich Möchtegern-Gangster.
weg mit so seiten und alle wo zuständig waren für die seite öffentlich im netz stellen mit fotos das sie ja für immer weg sind und jeder sie erkennt.
kriminelles pack.
Jetzt noch die wo illegale stream schauen ohne hochladen auch strafbar machen in der EU,, weil ohne die gäbe es die nicht. und hört auf mit preis runter die stehlen das auch wenn sie nur 3 euro kosten würden neue filme .