PayPal-Nutzer:innen aufgepasst: Ein Hacker bietet derzeit 15,8 Millionen angebliche Zugangsdaten zu PayPal-Konten im Darknet an. Für Betroffene könnte das ernste Folgen haben. Welche Schutzmaßnahmen jetzt zu ergreifen sind, erfährst du hier.
Im Darknet ist ein Datensatz mit 15,8 Millionen angeblichen PayPal-Zugangsdaten aufgetaucht. Angeboten wird er von einem Unbekannten mit dem Pseudonym „Chucky_BF“ für gerade einmal 750 US-Dollar, umgerechnet rund 644 Euro. Die Sammlung trägt den Namen „Global PayPal Credential Dump 2025“ und soll 1,1 Gigabyte groß sein. Nach Angaben des Verkäufers umfasst sie E-Mail-Adressen, Passwörter im Klartext sowie URLs zu verschiedenen PayPal-Diensten.
Fachleute gehen davon aus, dass die Daten nicht aus einem direkten Angriff auf PayPal stammen. Sicherheitsexperte Troy Hunt, Gründer von „Have I Been Pwned“, betont, dass PayPal keine Passwörter im Klartext speichert. Wahrscheinlicher ist eine Herkunft aus Phishing-Angriffen oder sogenannter Infostealer‑Malware, die Zugangsdaten auf infizierten Geräten ausspioniert und an Kriminelle weiterleitet.
Wie bei vielen Leaks dieser Art ist die Qualität der Daten gemischt. Neben funktionierenden Kontozugängen finden sich erfahrungsgemäß auch Test- und Fake-Konten. Der Datensatz soll laut Anbieter am 6. Mai 2025 entstanden sein.Ob diese Angaben zutreffen, lässt sich derzeit nicht verifizieren. PayPal selbst hat sich bislang nicht zu dem Vorfall geäußert.
Unabhängig von der Authentizität des Leaks ist jetzt schnelles Handeln gefragt. Folgende Schritte sind dabei besonders wichtig:
So richtest du die Zwei-Faktor-Authentifizierung bei PayPal ein: Melde dich zunächst im Webbrowser – nicht in der App – bei PayPal an. Über das Zahnrad-Symbol gelangst du in die „Einstellungen“ und dort in den Bereich „Sicherheit“. Unter „Zweistufige Verifizierung“ wählst du die Option „Einrichten“. Anschließend entscheidest du dich entweder für eine Authenticator-App wie Google Authenticator oder Microsoft Authenticator oder für einen physischen Sicherheitsschlüssel. Bei der App-Variante scannst du den angezeigten QR-Code und gibst den generierten sechsstelligen Code zur Bestätigung ein. Ab sofort musst du bei jeder Anmeldung neben dem Passwort zusätzlich den Code aus der App oder deinen Sicherheitsschlüssel eingeben. Hinweis: Die Einrichtung ist ausschließlich im Webbrowser möglich. Die Option per SMS wurde abgeschafft und kann nach Deaktivierung nicht erneut aktiviert werden.
Danke, dass du dir Zeit genommen hast, um deinen Kommentar zu schreiben. Du hilfst damit das Produkterlebnis zu verbessern und gibts anderen Nutzern die Möglichkeit weitere Informationen zu diesem Beitrag zu lesen.
