Die Passwort-Hitlisten stammen fast immer aus Infostealer-Leaks und sogenannten Combolists, die - sofern Klartextpasswörter enthalten sind - nichts weiter sind als aggregierte Infostealer-Leaks. Übrigens: auch das "150 Millionen Passwörter!!!1"-Ding vom WE war so ein PR-Nothingburger, deswegen findet Ihr es auch nicht bei heise.
Auch IMHO schwierig: das HPI nutzt ".de" als Demarkationslinie, obgleich sowohl Googlemail und GMX, ja selbst Mailbox.org nicht nur .de als TLD verwenden.
2/2
If you have a fediverse account, you can quote this note from your own instance. Search https://chaos.social/users/christopherkunz/statuses/115960610621542689 on your instance and quote it. (Note that quoting is not supported in Mastodon.)