Paypal Webseite Bild © PaypalPaypal Webseite (Bild © Paypal)

Der Verkäufer behauptet außerdem, der Dump sei nützlich für Credential Stuffing und Phishing-Kampagnen, zwei der häufigsten Missbrauchsfälle, wenn große Mengen von Logins auftauchen.

Unabhängige Überprüfungen der von den Sicherheitsbehörden gemeldeten Musterabschnitte ergaben wiederholte Einträge, Verweise auf verschiedene PayPal-Dienste und das Vorhandensein von Test- oder gefälschten Konten. Es etwas sei bei Datensätzen zwar üblich, erschwere aber die Schätzung, wie viele eindeutige, aktive Logins der Datensatz tatsächlich enthält. Der Beitrag nennt als „Leak-Datum“ den 6. Mai 2025 und einen Preis von 750 US-Dollar für das gesamte Paket. Zum Zeitpunkt der Veröffentlichung gab es noch keine offizielle Antwort von PayPal auf die Anzeige.

PayPal Logins mit Klartext Passwort im ForumPayPal Logins mit Klartext Passwort im Forum (Bild © hackread)

Direkter Einbruch bei PayPal unwahrscheinlich

Sicherheitsforscher weisen darauf hin, dass moderne Zahlungsplattformen Passwörter hashen und einen Salt verwenden, d.h. sie speichern die Zugangsdaten nicht im Klartext. Diese Standardpraxis macht es unwahrscheinlich, dass eine Kompromittierung der Kernplattform zu lesbaren Passwörtern führt. Wahrscheinlicher ist eine Sammlung von Anmeldedaten aus mehreren Quellen, die von Infostealer-Malware gesammelt wurden, der gespeicherte Browser-Passwörter, Cookies und Autofill-Daten von infizierten Nutzergeräten exfiltriert. Solche von Dieben stammenden Dumps enthalten in der Regel eine Mischung aus aktuellen und veralteten Logins, Duplikaten und Anmeldedaten für zahlreiche Dienste, die über die im Verkauf hervorgehobene Marke hinausgehen.

Was gefährdet ist

Selbst mit Unzulänglichkeiten kann ein Datensatz dieser Größenordnung für Zündstoff sorgen:

  • Credential Stuffing bei PayPal und anderen Websites, bei denen Nutzer Passwörter wiederverwendet - Gezieltes Phishing, das genaue E-Mail-/Dienst-Paarungen nutzt, um vertrauenswürdige Köder zu entwickeln.
  • Session-Hijacking-Versuche, wenn Cookies oder Geräte-Fingerabdrücke zusammen mit Anmeldedaten in breiteren Stealer-Kampagnen erfasst wurden.

Was Nutzer vorsorglich tun können

  • PayPal-Passwort ändern und sicherstellen, dass es unique ist (und nicht auf anderen Websites verwendet wird).
  • 2FA aktivieren (vorzugsweise eine Authentifizierungs-App oder einen Hardware-Schlüssel anstelle einer SMS).
  • Die letzten Aktivitäten überprüfen, verknüpfte Geräte und Anmeldesitzungen in den Kontoeinstellungen und alles widerufen, was man nicht kennt.
  • Wenn das PayPal-Passwort an anderer Stelle wiederverwendet wurde, diese Passwörter ändern und einen Passwortmanager verwenden, um sichere, eindeutige Logins zu erzwingen.
  • Auf der Hut sein vor Phishing-E-Mails/SMS, die PayPal vortäuschen. URLs erst überprüfen und nicht direkt drauf klicken. Downloads von Anhängen vermeiden und nur über die direkte Navigation oder die offizielle App auf das Konto zugreifen.
  • Kontowarnungen für Anmeldungen akrivieren, um bei Zahlungen und Profiländerungen informiert zu werden.

Der Umfang und die Aktualität der Auflistung bleiben ungeprüft, und der Anteil der gültigen Datensätze ist unbekannt. Die Kombination aus möglicher Wiederverwendung von Passwörtern und Social-Engineering-Risiken rechtfertigt jedoch rasche Hygienemaßnahmen für Verbraucher und Unternehmen.