Dem BSI sind 16Mill. Datensätze mit email-Adressen und vermutlich dazugehörigen Passwort zugesandt worden.
Diese wurden augenscheinlich von Schadsoftware infizierten PCs abgegriffen und fanden sich in Botnetzen, also verschalteten infizierten PCs.

Das BSI hat eine Seite eingerichtet, mit der man die Kompromittierung seiner Accountdaten prüfen lassen kann.
Betroffene sollten Ihr Passwort ändern.

Ähnliches passierte unlängst Nutzern von Adobeprodukten mit Adobe-Account, Sie können hier prüfen, ob Ihre Daten Unbefugten in die Hände fielen. Meine waren darunter.