Passordene kommer trolig fra datamaskiner som er infisert med virus som registrerer tastetrykk, melder BBC.
Informasjonen, som kommer fra hele verden, er deretter samlet inn av et såkalt botnet som går under navnet «Pony».
Det er usikkert hvor gamle passordene er, men sikkerhetsforsker Graham Cluley sier til BBC at også utdatert informasjon kan utgjøre en risiko.
– Vi vet ikke hvor mange av disse detaljene som fortsatt fungerer. Men vi vet at mellom 30 og 40 prosent bruker samme passord på flere forskjellige nettsider, og det er i hvert fall noe man ikke bør gjøre, sier han.
Flest Facebook-passord
Nettstedet der passordene nå er lagt ut, ble avdekket av datasikkerhetsfirmaet Trustwave.
Ifølge Trustwave er 1,5 millioner av passordene tilknyttet nettsider, mens drøyt 300.000 tilhører epostkontoer.
Hele 57 prosent av passordene er tatt fra Faceboook-profiler, mens Yahoo-detaljene utgjør ti prosent. Deretter følger Google, Twitter og Linkedin.
Angrepet beskrives som globalt, ettersom Trustwave har sporet opp IP-adresser fra over 90 land. Enkelte russiske nettsteder figurerer også på lista.
Les også:
Les også:
Velger enkle passord
Firmaet har også analysert selve passordene, og kan bekrefte at mange fortsatt ikke har lært å holde seg unna passordene som er enklest å gjette.
«123456» er det desidert mest brukte passordet med over 15.000 treff, sammen med flere liknende varianter. Flere tusen har også valgt «password».
Trustwave opplyser at de har varslet alle nettstedene som er rammet. Facebook skriver til BBC at de anbefaler brukere å aktivere innloggingsgodskjenning og -varsling på sine brukerkontoer.
– Selv om detaljene i denne saken ikke er helt klare, ser det ut til at private datamaskiner er angrepet av hackere som bruker malware til å hente informasjon rett fra nettleserne deres, heter det i uttalelsen fra Facebook.
Les også: