Highlight
PayPal-Datenleck: Sensible Kundeninfos sechs Monate ungeschützt
Namen, Adressen und Sozialversicherungsnummern: PayPal hat ein gravierendes Datenleck bestätigt. Durch einen Logikfehler im Code hatten Angreifer fast sechs Monate lang Zugriff auf diese sensiblen Informationen.
Erst am 12. Dezember 2025 entdeckten Sicherheitsteams den Fehler, woraufhin die Schwachstelle am Folgetag geschlossen wurde. PayPal Working Capital richtet sich an Geschäftskunden, die basierend auf ihrer Umsatzhistorie Kredite erhalten, es betrifft also explizit nicht Endverbraucher die PayPal zum Zahlen nutzen. Der Fehler befand sich in der Schnittstelle der spezifischen Kredit-Anwendung.
Ein Sprecher des Unternehmens betonte, dass die eigentlichen Kernsysteme von PayPal nicht kompromittiert wurden. Es handelte sich um einen isolierten Logikfehler. Dennoch wiegt der Vorfall schwer, da Sozialversicherungsnummern für Identitätsdiebstahl missbraucht werden können. Betroffene Kunden wurden laut PayPal entschädigt und deren Passwörter sicherheitshalber zurückgesetzt.
Der frühere Vorfall zog bei PayPal juristische Konsequenzen nach sich. Im Januar 2025 verständigte sich PayPal mit dem Bundesstaat New York auf eine Zahlung von zwei Millionen Dollar (etwa 1,7 Millionen Euro). Der Vorwurf lautete damals auf Verstöße gegen geltende Cybersicherheitsvorschriften.
Anwender sollten den aktuellen Vorfall zum Anlass nehmen, ihre Sicherheitseinstellungen zu überprüfen. Die Aktivierung der Zwei-Faktor-Authentifizierung und die Nutzung einzigartiger Passwörter für jeden Dienst bleiben die effektivsten Methoden, um das Risiko einer Kontoübernahme durch Dritte deutlich zu minimieren.
Nutzt ihr bereits zusätzliche Sicherheitsfunktionen wie Passkeys für eure Finanz-Accounts oder verlasst ihr euch auf starke Passwörter? Schreibt uns eure Strategien gerne in die Kommentare.
Siehe auch:
Sicherheitslücke bei PayPal: Daten offen
Es geht dabei um die Sparte "Working Capital" von PayPal, und dort unter anderem um die Kreditvergabe. Ein Fehler in der Software hat bei PayPal dazu geführt, dass sensible Kundeninformationen über einen Zeitraum von fast sechs Monaten für Dritte zugänglich waren. Der Finanzdienstleister bestätigte, dass ein im Juli 2025 eingespieltes Code-Update die Sicherheitslücke verursachte.Erst am 12. Dezember 2025 entdeckten Sicherheitsteams den Fehler, woraufhin die Schwachstelle am Folgetag geschlossen wurde. PayPal Working Capital richtet sich an Geschäftskunden, die basierend auf ihrer Umsatzhistorie Kredite erhalten, es betrifft also explizit nicht Endverbraucher die PayPal zum Zahlen nutzen. Der Fehler befand sich in der Schnittstelle der spezifischen Kredit-Anwendung.
Reaktion des Zahlungsdienstleisters
Wie BleepingComputer berichtet, nutzten Angreifer das Leck aus, um auf umfassende Datensätze zuzugreifen. Die exponierten Informationen umfassen Namen, Geburtsdaten, E-Mail-Adressen, Telefonnummern sowie Geschäftsadressen und Sozialversicherungsnummern. In einigen Fällen nutzten Kriminelle die gestohlenen Daten bereits für unautorisierte Transaktionen.Ein Sprecher des Unternehmens betonte, dass die eigentlichen Kernsysteme von PayPal nicht kompromittiert wurden. Es handelte sich um einen isolierten Logikfehler. Dennoch wiegt der Vorfall schwer, da Sozialversicherungsnummern für Identitätsdiebstahl missbraucht werden können. Betroffene Kunden wurden laut PayPal entschädigt und deren Passwörter sicherheitshalber zurückgesetzt.
Wiederholte Probleme beim US-Konzern
Sicherheitsexperten warnen, dass Angreifer oft gezielt nach solchen Schwachstellen suchen und ausnutzen. Für den US-Konzern ist das nicht der erste Vorfall dieser Art. Bereits im Dezember 2022 gelang es Angreifern durch Credential Stuffing, auf rund 35.000 Konten zuzugreifen. Dabei probieren Hacker automatisierte Listen von Nutzerdaten aus anderen Lecks bei verschiedenen Diensten aus.Der frühere Vorfall zog bei PayPal juristische Konsequenzen nach sich. Im Januar 2025 verständigte sich PayPal mit dem Bundesstaat New York auf eine Zahlung von zwei Millionen Dollar (etwa 1,7 Millionen Euro). Der Vorwurf lautete damals auf Verstöße gegen geltende Cybersicherheitsvorschriften.
Anwender sollten den aktuellen Vorfall zum Anlass nehmen, ihre Sicherheitseinstellungen zu überprüfen. Die Aktivierung der Zwei-Faktor-Authentifizierung und die Nutzung einzigartiger Passwörter für jeden Dienst bleiben die effektivsten Methoden, um das Risiko einer Kontoübernahme durch Dritte deutlich zu minimieren.
Nutzt ihr bereits zusätzliche Sicherheitsfunktionen wie Passkeys für eure Finanz-Accounts oder verlasst ihr euch auf starke Passwörter? Schreibt uns eure Strategien gerne in die Kommentare.
Was ist bei PayPal passiert?
Ein Programmierfehler in der Kreditantrags-App PayPal Working Capital (PPWC) hat dazu geführt, dass persönliche Daten von rund 100 Kunden fast sechs Monate lang - vom 1. Juli bis zum 13. Dezember 2025 - für Unbefugte zugänglich waren. PayPal entdeckte das Problem am 12. Dezember 2025 und machte die fehlerhafte Code-Änderung am Folgetag rückgängig.
PayPal betont, dass die eigenen Systeme nicht kompromittiert wurden - es handelte sich um einen Software-Fehler, nicht um einen klassischen Hackerangriff. Dennoch konnten Unbefugte auf sensible Daten zugreifen, und bei einigen Betroffenen kam es sogar zu nicht autorisierten Transaktionen auf ihren Konten.
PayPal betont, dass die eigenen Systeme nicht kompromittiert wurden - es handelte sich um einen Software-Fehler, nicht um einen klassischen Hackerangriff. Dennoch konnten Unbefugte auf sensible Daten zugreifen, und bei einigen Betroffenen kam es sogar zu nicht autorisierten Transaktionen auf ihren Konten.
Welche Daten wurden offengelegt?
Laut der Benachrichtigung von PayPal wurden geschäftliche und persönliche Informationen der betroffenen Kunden exponiert. Dazu gehören: Name, Sozialversicherungsnummer (Social Security Number), Geburtsdatum, E-Mail-Adresse, Telefonnummer und Geschäftsadresse.
Besonders brisant ist die Kombination aus Sozialversicherungsnummer und Geburtsdatum - diese Daten ermöglichen potenziell Identitätsdiebstahl, synthetischen Identitätsbetrug und gezielte Social-Engineering-Angriffe. Sicherheitsexperten warnen, dass selbst bei einer kleinen Zahl Betroffener die Sensibilität der Daten das Risiko erheblich erhöht.
Besonders brisant ist die Kombination aus Sozialversicherungsnummer und Geburtsdatum - diese Daten ermöglichen potenziell Identitätsdiebstahl, synthetischen Identitätsbetrug und gezielte Social-Engineering-Angriffe. Sicherheitsexperten warnen, dass selbst bei einer kleinen Zahl Betroffener die Sensibilität der Daten das Risiko erheblich erhöht.
Bin ich betroffen?
Wer betroffen ist, wurde von PayPal per Brief direkt benachrichtigt. Zusätzlich wurden die Passwörter aller betroffenen Konten zurückgesetzt - beim nächsten Login wird automatisch ein neues Passwort verlangt. Wer keine solche Benachrichtigung erhalten hat, ist nach aktuellem Stand nicht betroffen.
Gab es unautorisierte Transaktionen?
Ja. PayPal bestätigt, dass bei einer kleinen Anzahl der betroffenen Kunden unautorisierte Transaktionen auf den Konten durchgeführt wurden. Die genaue Zahl hat das Unternehmen nicht genannt, jedoch wurden alle betroffenen Kunden laut eigener Aussage vollständig entschädigt.
Sicherheitsexperte Nick Tausek von Swimlane betont, dass solche Vorfälle zeigen: "Sicherheitslücken müssen nicht massiv sein, um Kunden in Gefahr zu bringen." Die Folgen könnten sich als Kontoübernahmen, Zahlungsumleitungen oder Kreditbetrug bemerkbar machen.
Sicherheitsexperte Nick Tausek von Swimlane betont, dass solche Vorfälle zeigen: "Sicherheitslücken müssen nicht massiv sein, um Kunden in Gefahr zu bringen." Die Folgen könnten sich als Kontoübernahmen, Zahlungsumleitungen oder Kreditbetrug bemerkbar machen.
Was unternimmt PayPal jetzt?
PayPal hat die fehlerhafte Code-Änderung sofort rückgängig gemacht und den unbefugten Zugriff am 13. Dezember 2025 unterbunden. Alle Passwörter betroffener Konten wurden zurückgesetzt, und die Sicherheitskontrollen wurden nach eigenen Angaben verstärkt.
Betroffene Kunden erhalten außerdem zwei Jahre kostenlose Kreditüberwachung und Identitätswiederherstellungsdienste über Equifax. Die Anmeldung dafür muss bis zum 30. Juni 2026 erfolgen. Unautorisierte Transaktionen wurden bereits erstattet.
Betroffene Kunden erhalten außerdem zwei Jahre kostenlose Kreditüberwachung und Identitätswiederherstellungsdienste über Equifax. Die Anmeldung dafür muss bis zum 30. Juni 2026 erfolgen. Unautorisierte Transaktionen wurden bereits erstattet.
Wie kann ich mich jetzt schützen?
PayPal empfiehlt mehrere Sofortmaßnahmen: Verwenden Sie für jede Website ein einzigartiges Passwort, ändern Sie Passwort und Sicherheitsfragen sofort bei verdächtigen Aktivitäten und überprüfen Sie regelmäßig Ihre Kontoauszüge und Kreditberichte auf ungewöhnliche Vorgänge.
Besondere Vorsicht ist bei Phishing-Versuchen geboten, die nach Datenpannen häufig zunehmen. PayPal wird Sie niemals per Telefon, SMS oder E-Mail nach Passwörtern oder Einmal-Codes fragen. Wenn Sie eine verdächtige Nachricht erhalten, öffnen Sie paypal.com direkt im Browser und prüfen Sie dort Ihre Benachrichtigungen.
Besondere Vorsicht ist bei Phishing-Versuchen geboten, die nach Datenpannen häufig zunehmen. PayPal wird Sie niemals per Telefon, SMS oder E-Mail nach Passwörtern oder Einmal-Codes fragen. Wenn Sie eine verdächtige Nachricht erhalten, öffnen Sie paypal.com direkt im Browser und prüfen Sie dort Ihre Benachrichtigungen.
Warum blieb der Fehler so lange unentdeckt?
Die fehlerhafte Code-Änderung war fast sechs Monate lang aktiv, bevor PayPal sie am 12. Dezember 2025 bemerkte. Warum die Erkennung so lange dauerte, hat das Unternehmen nicht im Detail erläutert. Sicherheitsexperte Andrew Costis von AttackIQ warnt: Je länger Angreifer unentdeckt in Netzwerken verbleiben, desto größer wird die Wahrscheinlichkeit, dass Zugangsdaten kompromittiert werden.
Der Vorfall wirft Fragen zur internen Code-Review- und Monitoring-Praxis bei PayPal auf. Gerade bei Anwendungen, die hochsensible Daten wie Sozialversicherungsnummern verarbeiten, wäre eine schnellere Erkennung solcher Fehler zu erwarten gewesen.
Der Vorfall wirft Fragen zur internen Code-Review- und Monitoring-Praxis bei PayPal auf. Gerade bei Anwendungen, die hochsensible Daten wie Sozialversicherungsnummern verarbeiten, wäre eine schnellere Erkennung solcher Fehler zu erwarten gewesen.
Gab es früher ähnliche Vorfälle?
Ja. Im Dezember 2022 wurden bei einem groß angelegten Credential-Stuffing-Angriff rund 35.000 PayPal-Konten kompromittiert. Dabei wurden Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten offengelegt - ein deutlich größerer Vorfall als die aktuelle Datenpanne.
Im Januar 2025 einigte sich PayPal mit dem Bundesstaat New York auf eine Strafzahlung von 2 Millionen US-Dollar, weil das Unternehmen die Cybersicherheitsvorschriften des Staates nicht eingehalten hatte, was zu dem Vorfall von 2022 beitrug. Der aktuelle Fall zeigt, dass trotz verschärfter Auflagen weiterhin Sicherheitslücken auftreten können.
Im Januar 2025 einigte sich PayPal mit dem Bundesstaat New York auf eine Strafzahlung von 2 Millionen US-Dollar, weil das Unternehmen die Cybersicherheitsvorschriften des Staates nicht eingehalten hatte, was zu dem Vorfall von 2022 beitrug. Der aktuelle Fall zeigt, dass trotz verschärfter Auflagen weiterhin Sicherheitslücken auftreten können.
Zusammenfassung
- PayPal bestätigte ein schweres Datenleck in der Sparte Working Capital
- Ein fehlerhaftes Code-Update vom Juli 2025 verursachte die Sicherheitslücke
- Namen, Geburtsdaten, Adressen und Sozialversicherungsnummern waren betroffen
- Die Schwachstelle blieb fast sechs Monate lang unentdeckt und wurde ausgenutzt
- Am 12. Dezember 2025 wurde der Fehler entdeckt und tags darauf behoben
- Betroffene erhalten ein zweijähriges kostenloses Kredit-Monitoring bei Equifax
- Bereits im Dezember 2022 gab es einen ähnlichen Sicherheitsvorfall bei PayPal
Siehe auch:
Thema:
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
Videos
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen