PayPal-Datenleck: Hacker hat angeblich knapp 16 Mio. Logins erbeutet

Ein Hacker bietet im Netz knapp 16 Millionen angebliche PayPal-Zugangsdaten zum Verkauf an. Die Daten sollen E-Mail-Adressen und Passwörter im Klartext enthalten. PayPal hat sich bisher nicht zu dem Vorfall geäußert. Nutzer sollten sicherheitshalber reagieren.

Massive Datenleck-Behauptung erschüttert PayPal

PayPal sorgt bei vielen seiner Nutzer in letzter Zeit nicht gerade für gute Stimmung. Erst ging man auf Distanz zum Google Wallet, was für viele Kunden einige Unannehmlichkeiten bedeutet. Jetzt gibt es auch noch Zahlungsprobleme auf Steam. Zudem war bereits Ende Mai eine riesige Datenbank mit Log-in-Daten von Nutzern ungeschützt im Netz aufgetaucht. Nur drei Monate später gibt es jetzt schon wieder einen Sicherheitsvorfall.

So bietet ein Cyberkrimineller namens Chucky_BF in einem Hackerforum einen 1,1 Gigabyte großen Datensatz zum Verkauf an, der angeblich rund 15,8 Millionen Zugangsdaten von PayPal-Nutzern enthält. Nach Angaben des Verkäufers liegen die Anmeldeinformationen vollständig im Klartext vor. Woher die Daten genau stammen und wie viele davon tatsächlich gültig sind, ist unklar.


Den Angaben zufolge bestehen die Datensätze aus E-Mail-Adressen, Passwörtern und den URLs, für die die jeweiligen Zugangsdaten vorgesehen sind. Die Daten sollen von PayPal-Nutzern aus verschiedenen Regionen auf der ganzen Welt stammen und sich laut Chucky_BF für gezielte Phishing-Angriffe, Credential Stuffing und andere betrügerische Aktivitäten eignen. Wie HackRead berichtet, verlangt der Verkäufer für den gesamten Datensatz einen Preis von 750 US-Dollar (etwa 641 Euro).

Zweifel an direktem PayPal-Hack

Die angebotenen Zugangsdaten wurden sehr wahrscheinlich jedoch nicht direkt von PayPal erbeutet. Denn wie der Gründer des Internetportals HaveIBeenPwned Troy Hunt auf X anmerkt, speichert PayPal keine Passwörter im Klartext. Hunt glaubt daher, dass die Daten auf andere Weise abgegriffen wurden, wie etwa mithilfe von Infostealer-Malware.

Infostealer haben sich in den vergangenen Jahren zu einer der größten Bedrohungen für Verbraucher entwickelt. Diese Schadsoftware wird oft über gefälschte Downloads, E-Mail-Anhänge oder kompromittierte Webseiten verbreitet. Einmal installiert, sammelt sie systematisch gespeicherte Passwörter aus Browsern, Anmeldedaten von verschiedenen Diensten und andere sensible Informationen.

PayPal noch ohne Stellungnahme

PayPal hat sich bisher nicht offiziell zu dem Vorfall geäußert. Der Zahlungsdienstleister mit Hauptsitz in San José, Kalifornien, verwaltet weltweit über 400 Millionen aktive Nutzerkonten und wickelt täglich Millionen von Transaktionen ab. Diese Größe macht das Unternehmen zu einem attraktiven Ziel für Cyberkriminelle. PayPal investiert erhebliche Ressourcen in die Sicherheit seiner Plattform, einschließlich maschinellem Lernen zur Betrugserkennung und fortschrittlicher Verschlüsselungstechnologien.

Um einen unrechtmäßigen Zugriff auf das eigene PayPal-Konto zu verhindern, raten Experten PayPal-Kunden trotz der noch ausstehenden Verifizierung der jetzt erbeuteten Daten, ihre Passwörter zu ändern. Das ist besonders dann wichtig, wenn ein und dasselbe Passwort auch noch für andere Online-Dienste verwendet wird. Am sichersten ist jedoch die Aktivierung einer Zwei-Faktor-Authentifizierung. Sie bietet auch dann Schutz, wenn Kriminelle das Passwort kennen sollten. PayPal bietet verschiedene Optionen für die Zwei-Faktor-Authentifizierung, darunter SMS-Codes, Authentifizierungs-Apps und Hardware-Sicherheitsschlüssel.

Was meint ihr zu diesem angeblichen PayPal-Datenleck? Werdet ihr eure Passwörter ändern oder plant ihr anderweitige Sicherheitsmaßnahmen?


Siehe auch: