Berichte über ein mögliches Datenleck bei PayPal sorgen derzeit für große Aufmerksamkeit. In einschlägigen Foren kursieren Datensätze mit angeblich 15,8 Millionen Zugangsdaten zu PayPal-Konten, die von einem Hacker angeboten werden. Besonders brisant: Es soll sich um Kombinationen aus E-Mail-Adressen und Klartext-Passwörtern handeln.
Offizieller Stand: Kein bestätigtes Datenleck bei PayPal
PayPal selbst betont, dass es keinen neuen Sicherheitsvorfall gegeben habe.
- Es ist möglich, dass es sich um ältere Datenbestände handelt, die erneut im Umlauf sind.
- Eine unabhängige Bestätigung der Echtheit der im Darknet angebotenen Daten gibt es bisher nicht.
Das bedeutet: Ob tatsächlich ein aktuelles Datenleck bei PayPal oder einem externen Anbieter vorliegt, ist weiterhin unklar.
Mögliche Ursachen im Überblick
- Datenpanne bei einem Dienstleister: Ein externer Cloud- oder Supportanbieter könnte betroffen sein.
- Credential-Stuffing: Angreifer nutzen anderswo erbeutete Zugangsdaten, um PayPal-Konten zu kompromittieren.
- Phishing/Smishing: Zugangsdaten gelangen über betrügerische E-Mails oder SMS direkt an Angreifer.
- Datenleck in der Supply-Chain: Auch Händler oder Drittanbieter, die PayPal nutzen, kommen als Quelle in Betracht.
Wichtig: Selbst wenn ein externer Dienstleister betroffen wäre, bliebe PayPal datenschutzrechtlich verantwortlich. Nach Art. 28 und 32 DSGVO muss jedes Unternehmen seine Auftragsverarbeiter sorgfältig auswählen, vertraglich binden und überwachen.
Welche Risiken bestehen?
Selbst ohne bestätigten Vorfall ergeben sich für Nutzer verschiedene Gefahren:
- Phishing-Wellen: Gefälschte E-Mails im Namen von PayPal könnten versuchen, weitere Daten abzugreifen.
- Passwort-Wiederverwendung: Wurden dieselben Kombinationen auch bei anderen Diensten genutzt, können Angreifer dort Konten übernehmen.
- Folgeangriffe: Social Engineering und im schlimmsten Fall Identitätsmissbrauch, wenn Angreifer genug persönliche Details zusammentragen.
Was PayPal-Kunden jetzt tun sollten
Unabhängig vom tatsächlichen Ursprung der Daten empfiehlt es sich, sofort aktiv zu werden:
- Passwort ändern (einzigartig, lang, zufällig)
- Zwei-Faktor-Authentifizierung aktivieren
- Passwort-Manager oder Passkeys nutzen
- Verknüpfte Dienste und Berechtigungen prüfen
- Kontobewegungen genau überwachen
- Keine Links in E-Mails anklicken – nur direkt über die PayPal-Webseite oder App einloggen
- Antiviren-Software und Geräte aktuell halten
Für Unternehmen – nicht nur PayPal – zeigt der Fall erneut, wie essenziell Vendor-Risikomanagement, starke Sicherheitsmaßnahmen und transparente Kommunikation sind, um Vertrauen zu wahren und Schadensrisiken zu minimieren.
