Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned, hat der Datensammlung nun 1,3 Milliarden einzigartige Passwörter hinzugefügt. Sie stammen aus der erweiterten „Synthient“-Datensammlung.

Synthient hat offen zugängliche Daten in aus dem Internet zugreifbaren Cloudspeichern oder etwa Telegram-Gruppen gesammelt, von wo Troy Hunt sie auch erhalten hat. Einen ersten Teil dieser Daten hatte Hunt gefiltert und vor etwa zwei Wochen zunächst rund 183 Millionen Zugangsdaten daraus in die HIBP-Sammlung ergänzt. Dabei handelte es sich insbesondere um Daten, die Infostealer ausgeleitet haben.

Infostealer sind Trojaner, die auf Rechner oder Smartphones installiert werden und dort mitschneiden, wenn Opfer sich in Dienste anmelden. Diese Zugangsdaten leiten sie an Command-and-Control-Server weiter. Diese Daten landen oftmals offen einsehbar im Netz. Solche Infostealer installieren sich Opfer etwa als Dreingabe zu vermeintlichen Cracks für populäre Software, sie können jedoch auch durch Sicherheitslücken in installierter Software auf die Geräte gelangen.

Missbrauch für Angriffsversuche mit „Credential Stuffing“

Synthient hat jedoch weitaus mehr Datensätze gesammelt, die Sammlung besteht aus Daten aus diversen Datenlecks – Hunt bezeichnet sie auch als „Credential Stuffing“-Einträge. Insgesamt umfasst die Datensammlung rund 2 Milliarden einzigartige E-Mail-Adressen. Wie Troy Hunt zu der Ankündigung der nun hinzugefügten 1,3 Milliarden Passwörter erörtert – davon 625 Millionen bislang unbekannte –, nutzen Angreifer diese Daten, um andere Konten von Opfern zu knacken, bei denen dieselben Passwörter (wieder-)benutzt werden. Das Durchtesten dieser Zugangsdaten nennt sich Credential Stuffing.

Dass das eine erfolgreiche Taktik ist, hat Hunt beim Verifizieren der Daten bestätigen können. Laut seines Berichts hat er einige Abonnenten von HIBP befragt, ob die Daten echt seien. Gleich die erste Antwort lieferte Klarheit: „[Passwort] #1 ist ein altes Passwort, das ich nicht mehr nutze. #2 ist ein aktuelleres Passwort. Danke für die Vorwarnung, ich bin hingegangen und habe die Passwörter für alle kritischen Zugänge geändert, die eines davon genutzt haben“. Ein weiterer Nutzer berichtete, dass es sich um ein Wegwerf-Passwort für unwichtige Konten handelte, das er zwischen 20 und 10 Jahren zuvor genutzt hatte. Weitere Antworten deuten ebenfalls in die Richtung alter, lange nicht mehr genutzter Passwörter. Die Datensammlung umfasst also auch sehr alte Einträge.

Interessierte können auf einer eigenen HIBP-Webseite prüfen, ob ihre Passwörter in einem Datenleck aufgetaucht sind. Eine kurze Prüfung etwa mit „123456“ liefert gleich 178.863.340 Einträge, in denen diese Zahlenfolge als Passwort auftauchte.

(dmk)

In mehreren Produkten aus dem Portfolio von Cisco hat das Unternehmen Sicherheitslücken gemeldet. Aktualisierungen stehen für die zum Teil als kritisches Risiko eingestuften Schwachstellen bereit. IT-Verantwortliche sollten prüfen, ob sie verwundbare Systeme einsetzen und die Updates zügig installieren.

Am gravierendsten sind laut Cisco Sicherheitslücken in Cisco Unified Contact Center Express (Unified CCX). Aufgrund mehrerer Schwachstellen in der darin genutzten Java Remote Method Invocation (RMI) können Angreifer aus dem Netz ohne vorherige Authentifizierung beliebige Befehle ausführen, ihre Rechte zu „root“ ausweiten, Authentifizierung umgehen und beliebige Dateien hochladen – sprich, das System vollständig kompromittieren (CVE-2025-20354, CVSS 9.8; CVE-2025-20358, CVSS 9.4; beide Risiko „kritisch„). Cisco Unified CCX 12.5 SU3 ES07 und 15.0 ES01 stopfen die Sicherheitslecks.

Als hochriskant stuft Cisco eine Schwachstelle im Radius-Server ein. Die Einstellung „Reject RADIUS requests from clients with repeated failures“ der Cisco Identity Services Engine (ISE) ermöglicht nicht authentifizierten Angreifern aus dem Netz, Cisco ISE unerwartet neu starten zu lassen. Das mündet in einen Denial-of-Service (DoS). Angreifer können das mit einer bestimmten Sequenz von manipulierten Radius-Anfragen auslösen (CVE-2025-20343, CVSS 8.6, Risiko „hoch„). Die Einstellung ist standardmäßig aktiv. Betroffen ist Cisco ISE 3.4, die Fassungen davor und die neueren 3.5er-Versionen sollen dafür nicht anfällig sein. Die Version 3.4 Patch 4 soll das Problem lösen.

Mittelschwere Schwachstellen

In Ciscos Unified Contact Center Express (Unified CCX), Cisco Unified Contact Center Enterprise (Unified CCE), Cisco Packaged Contact Center Enterprise (Packaged CCE) und Cisco Unified Intelligence Center (CUIC) können angemeldete Angreifer aus dem Netz beliebigen Code einschleusen und ausführen, ihre Rechte zu „root“ ausweiten, sensible Informationen auslesen und beliebige Dateien herunterladen (CVE-2025-20375, CVE-2025-20376; beide CVSS 6.5; CVE-2025-20374, CVSS 4.9; alle Risiko „mittel“). Die Sicherheitsmitteilung nennt als korrigierte Softwareversionen Cisco Unified CCX 12.5 SU3 ES07 und 15.0 ES01 sowie Cisco Unified Intelligence Center 15.0(01) ES202508; wer noch Version 12.6 oder älter einsetzt, soll auf eine unterstützte Version migrieren.

Schließlich können angemeldete Angreifer aus dem Netz sensible Informationen auslesen oder Cross-Site-Scripting-Angriffe in Ciscos Identity Services Engine (ISE) und Cisco ISE Passive Identity Connector (ISE-PIC) ausführen (CVE-2025-20303, CVE-2025-20304, CVSS 5.4; CVE-2025-20289, CVSS 4.8; CVE-2025-20305, CVSS 4.3; alle Risiko „mittel„). Anfällig sind Cisco-ISE-Releases 3.4 und ältere, die jüngere Fassung 3.5 hingegen nicht. Wer noch 3.1 einsetzt, soll auf eine unterstützte Version migrieren, für die anderen Entwicklungszweige schließen die Versionen 3.2 Patch 8 (im Dezember 2025), 3.3 Patch 8 (im November 2025) und 3.4 Patch 4 die Sicherheitslücken.

Cisco-Schwachstellen sind für Cyberkriminelle ein lohnenswertes Ziel, ermöglicht deren Missbrauch in der Regel doch Zugang zu Netzwerken von Organisationen. So lassen sich etwa immer noch Angriffe auf eine Sicherheitslücke aus dem Jahr 2023 beobachten, die zu derzeit rund 15.000 mit der Malware „Badcandy“ infizierten Cisco-Geräten weltweit führt.

(dmk)

Soziale Medien werden derzeit von Bildern und Videos geflutet, die von sogenannter Künstlicher Intelligenz (KI) generiert wurden. Das wirkt sich auch auf unsere kollektive Vorstellungskraft aus. Eine Untersuchung der Universität Cambridge warnt nun vor negativen Folgen für das Selbst- und Körperbild von Menschen.

Die Forscherin Aisha Sobey vom Leverhulme Centre for the Future of Intelligence hat untersucht, wie unterschiedliche Körperformen von KI-Generatoren repräsentiert werden. Ihr Befund: Darstellungen unrealistisch dünner Menschen sind der Standard, große und dicke Körper werden diskriminierend dargestellt.

„Ich bin besorgt über die steigende Zahl von Fällen von Körperunzufriedenheit und Essstörungen und dem daraus resultierenden Zeit-, Energie- und Geldaufwand“, schreibt Sobey auf Anfrage von netzpolitik.org. KI-Generatoren würden diesen Trend verstärken.

Unrealistisch dünne Körper als Standard

Für die Untersuchung verfasste die Forscherin 20 Anweisungen, auch Prompts genannt, zum Erstellen von Bildern mit generativer KI. Alle Darstellungen sollten Personen in unterschiedlichen Situationen zeigen. Manche Prompts erhielten als Zusatz eine medizinische Beschreibung größerer Körper wie „übergewichtig“ oder den Begriff „fat“, zu deutsch „fett“. Das häufig abwertend verwendete Wort wurde von Aktivist*innen zurückerobert und wird inzwischen von vielen Menschen als positive Selbstbezeichnung verwendet.

Die Prompts ließ die Wissenschaftlerin durch neun öffentlich zugängliche Bildgeneratoren laufen, darunter Adobe Firefly, Canva, Runway ML und Stable Diffusion. Ohne den Zusatz „fat“ zeigten die meisten Bilder Menschen mit sogenannter „Sample Size“. Also Menschen, die zu einer besonders dünnen Untergruppe der nicht-dicken Menschen gehören, mit für die meisten Menschen unrealistischen Maßen.

Größere Körper hingegen wurden fast ausschließlich nur nach ausdrücklicher Aufforderung gezeigt – oder gar nicht. Manche KI-Generatoren stuften die Prompts mit dem Wort „fat“ als schädlich ein. Sie verweigerten den Dienst und produzierten keine Bilder.

Verzerrte Darstellungen

Auch waren die Bilder von dicken Menschen öfters fehlerhaft als die von dünnen Menschen. Bilder sind dann fehlerhaft, wenn die KI bestimmte anatomische Details wie einzelne Finger oder den Winkel eines Arms nicht passend nachahmen kann und deswegen unnatürlich aussehen. Aisha Sobey schließt daraus, dass die Systeme mit Datensätzen trainiert werden, in denen Abbildungen von dicken Menschen unterrepräsentiert sind. Bemerkenswert ist zudem, dass Bilder mit dem Prompt „fat“ übermäßig viele weiße Männer zeigen.

Ebenfalls auffällig sind die unterschiedlichen Gesichtsausdrücke, die die Personen in den verschiedenen Bildern tragen. Fast 25 Prozent der dargestellten dicken Personen haben laut Studie einen negativen Gesichtsausdruck, im Vergleich zu nur drei Prozent der Menschen, die ohne den Prompt „fat“ generiert wurden.

Menschen mit Behinderungen werden von Generativer KI ebenfalls unterrepräsentiert. Von den insgesamt 649 generierten Bildern zeigte nur eines eine Person mit äußerlich erkennbarer körperlicher Einschränkung.

Darstellungen von dicken Menschen zeigten zudem deutlich häufiger Personen mit Charakteristika, die gemeinhin mit Lernbehinderungen, Downsyndrom und anderen Behinderungen assoziierte werden. Die Forscherin fand diese Darstellungen bei acht Prozent der Bilder, die mit dem Prompt „fat“ generiert wurden, und nur bei zwei Prozent der Abbildungen ohne den Zusatz.

KI kann Unzufriedenheit schüren

Wissenschaftler*innen bezeichnen generative Künstliche Intelligenz auch als Spiegel der Gesellschaft. Trainiert werden die Systeme mit großen Datenmengen, die oft aus dem Internet abgeschöpft werden. Die Diversität der verwendeten Daten steht dabei in engem Zusammenhang mit der Diversität der generierten Inhalte. Die für das Training verwendeten Datensätze scheinen also große Körper nur unzulänglich abzubilden.

Sie spiegeln damit einen online immer noch vorherrschenden Standard wider, bei dem überdurchschnittlich dünne und weiße Körper ohne Behinderungen als Norm dargestellt werden. Allerdings scheint generative KI das Problem nicht nur fortzuschreiben, sondern sogar zu verschärfen, denn KI-generierte Bilder, die diskriminierende Körperbilder repräsentieren, werden wiederum für das Training der Generatoren verwendet.

Über die Sozialen Medien sickern die diskriminierenden Bilder zudem in unsere kollektive Vorstellungswelt ein. AI Forensics, ein europäischer Verein, der undurchsichtige Algorithmen überprüft, nahm im Juli 2025 eine Stichprobe und fand, dass ungefähr jedes vierte Video auf TikTok von KI generiert war. Der Unterschied zu menschlichen Creator ist, dass KI ausschließlich in den Trainings-Datensätzen vorhandene Muster reproduzieren kann, während Menschen umdenken und ihre Einstellungen ändern können.

„Die [durch generative KI] implizierten Erwartungen folgen einer langen Tradition von Modell- und Idealkörpern, aber ich würde sagen, dass es durch generative KI viel heimtückischer ist“, so Aisha Sobey gegenüber netzpolitik.org. Aus ihrer Sicht stärkt generative KI jene Systeme, „die Fettleibigkeit verteufeln und die Unsicherheiten der Menschen ausnutzen“.