Reused passwords are the #1 way attackers get in — even without phishing you. Wiederverwendete Passwörter sind der Weg Nr. 1 für Angreifer — auch ohne Phishing.

If your Zevvy or AWS password is the same one you used on a smaller service that got breached, you don't need to fall for a phishing email — the attacker already has your credentials. Wenn Ihr Zevvy- oder AWS-Passwort dasselbe ist wie auf einem kleineren Dienst, der gehackt wurde, müssen Sie keinem Phishing aufsitzen — der Angreifer hat Ihre Zugangsdaten bereits.

How credential stuffing works Wie Credential Stuffing funktioniert

Every year, dozens of websites get breached and their user databases end up for sale on cybercrime forums. By 2026, there are billions of leaked email-and-password combinations circulating freely. Many can be downloaded for free from a Telegram channel in five minutes.

Attackers then run credential stuffing: they take those leaked pairs and try them automatically against valuable services — Microsoft 365, AWS, Okta, GitHub, banks, payroll systems. They expect most to fail. They only need a few percent to succeed, and at scale that means thousands of compromised accounts per day.

If you used your Zevvy or AWS password anywhere else, and that "anywhere else" gets breached at any point in your life, the attacker effectively phished you without sending you anything.

Jedes Jahr werden Dutzende Websites kompromittiert; ihre Nutzerdatenbanken landen anschliessend in Untergrundforen zum Verkauf. Bis 2026 zirkulieren Milliarden geleakter E-Mail-Passwort-Kombinationen frei. Viele lassen sich in fünf Minuten gratis aus einem Telegram-Kanal laden.

Angreifer betreiben dann Credential Stuffing: Sie testen diese Paare automatisch gegen wertvolle Dienste — Microsoft 365, AWS, Okta, GitHub, Banken, Lohnsysteme. Die meisten Versuche scheitern. Sie brauchen nur wenige Prozent Erfolg — was bei der Menge tausende kompromittierte Konten pro Tag bedeutet.

Wenn Sie Ihr Zevvy- oder AWS-Passwort irgendwo anders verwendet haben und dieses „andere“ irgendwann gehackt wird, hat ein Angreifer Sie gephisht, ohne Ihnen je etwas zu schicken.

Habits that put you at risk Gewohnheiten, die Sie gefährden

Reusing one "good" password. Even a long, complex password is only as secure as the worst site you used it on. Ein einziges „gutes“ Passwort überall. Auch ein langes, komplexes Passwort ist nur so sicher wie die unsicherste Seite, auf der Sie es nutzen.
"Pattern" passwords. ZevvyAWS2024!, ZevvyAWS2025!, ZevvyAWS2026! — once an attacker sees one, they can guess the rest. „Muster“-Passwörter. ZevvyAWS2024!, ZevvyAWS2025!, ZevvyAWS2026! — sieht ein Angreifer eines, errät er die anderen.
Saving passwords in the browser without a master password. Anyone with access to your laptop session can read them in plaintext through the browser settings. Passwörter im Browser ohne Master-Passwort speichern. Jede Person mit Zugriff auf Ihre laufende Sitzung kann sie im Klartext über die Browsereinstellungen lesen.
Using a personal email for work signups. Mixes professional and consumer breach exposure — and means HR / IT can't help when something leaks. Private E-Mail für Arbeits-Anmeldungen. Mischt berufliche und private Leaks und schliesst HR / IT bei Vorfällen aus.
Ignoring "your account was found in a data breach" notices. Microsoft, Google, and password managers show these for a reason. They are not spam. Hinweise „Ihr Konto wurde in einem Datenleck gefunden“ ignorieren. Microsoft, Google und Passwort-Manager zeigen sie nicht ohne Grund. Sie sind kein Spam.

What to do instead Was Sie stattdessen tun sollten

Use a password manager. One strong master password, and every other password becomes long, random, and unique. Most browsers and operating systems include one built-in. Nutzen Sie einen Passwort-Manager. Ein starkes Master-Passwort — und jedes andere ist lang, zufällig und einzigartig. Die meisten Browser und Betriebssysteme bringen einen mit.
Make your Zevvy, M365, and AWS passwords unique. Especially AWS root and IAM-user passwords. Treat them like nuclear codes — they belong nowhere else. Zevvy-, M365- und AWS-Passwörter müssen einzigartig sein. Besonders AWS-Root- und IAM-User-Passwörter. Behandeln Sie sie wie Atomcodes — sie gehören nirgendwo anders hin.
Turn on MFA on every account that supports it. M365, AWS, GitHub, your bank, Apple, Google. MFA is what stops credential stuffing dead — even with your password, the attacker still can't sign in. MFA überall aktivieren, wo möglich. M365, AWS, GitHub, Bank, Apple, Google. MFA stoppt Credential Stuffing — selbst mit Ihrem Passwort kommt der Angreifer nicht weiter.
Check your email at haveibeenpwned.com. See which breaches your address appears in. Change passwords on those services first. Adresse bei haveibeenpwned.com prüfen. Zeigt, in welchen Leaks Ihre Adresse vorkommt. Ändern Sie zuerst dort die Passwörter.
For AWS: prefer SSO / IAM Identity Center over long-lived access keys. Static access keys are the AWS equivalent of a reused password — if they leak in a public GitHub repo or stolen laptop, attackers will find them within minutes. Bei AWS: SSO / IAM Identity Center statt langlebige Access Keys. Statische Access Keys sind das AWS-Äquivalent eines wiederverwendeten Passworts — landen sie in einem öffentlichen GitHub-Repo oder gestohlenen Laptop, finden sie Angreifer innerhalb von Minuten.

If a password may be leaked Wenn ein Passwort möglicherweise geleakt ist

Change the affected password immediately — on every service where you reused it.
Enable MFA on those accounts if it wasn't already.
For Zevvy / M365 / AWS exposure: contact IT at it@zevvy.org so they can review sign-in logs.
For leaked AWS access keys: rotate them in IAM and audit recent API activity.

Betroffenes Passwort sofort ändern — auf jedem Dienst, wo Sie es wiederverwendet haben.
MFA dort aktivieren, falls noch nicht geschehen.
Bei Zevvy- / M365- / AWS-Bezug: IT kontaktieren unter it@zevvy.org für die Prüfung der Anmeldeprotokolle.
Bei geleakten AWS Access Keys: in IAM rotieren und die letzte API-Aktivität prüfen.