Ein neuer mutmaßlicher Datenskandal erschüttert derzeit die digitale Welt: Ein Hacker bietet im Darknet ein gigantisches Paket mit 15,8 Millionen angeblichen PayPal-Zugangsdaten zum Verkauf an. Während PayPal selbst einen aktuellen System-Hack bestreitet, fragen sich viele Nutzer: Ist mein Konto betroffen – und was muss ich jetzt tun?
Ein erschütterndes Angebot im Netz: 15,8 Millionen Zugangsdaten für 750 US-Dollar
Der Vorfall wurde bekannt, nachdem ein Cyberkrimineller mit dem Pseudonym „Chucky_BF“ in einem bekannten Hacker-Forum ein Datenset zum Verkauf anbot. Der Inhalt: Rund 1,1 Gigabyte Klartextdaten, angeblich mit über 15 Millionen PayPal-Zugängen. Die Datei soll E-Mail-Adressen, Passwörter im Klartext und PayPal-URLs enthalten – strukturiert in der Form email:passwort:url, was sie besonders wertvoll für automatisierte Angriffe wie Credential Stuffing oder gezielte Phishing-Kampagnen macht.
Besonders auffällig: Der Preis. Für lediglich 750 US-Dollar wird das gesamte Paket angeboten. Für IT-Sicherheitsfachleute ist das ein starkes Indiz dafür, dass es sich entweder um minderwertige oder zumindest veraltete Daten handeln könnte. Hochwertige, aktuelle Zugangsdaten würden auf einschlägigen Marktplätzen deutlich höhere Preise erzielen.
Kein direkter Hack bei PayPal – Woher stammen die Daten?
PayPal hat schnell reagiert und einen systeminternen Datenabfluss vehement bestritten. Es gebe keine Hinweise auf einen aktuellen Angriff auf die eigenen Systeme. Vielmehr deuten Analysen darauf hin, dass die angebotenen Daten aus sogenannten „Infostealer“-Malware-Quellen stammen. Dabei handelt es sich um Schadsoftware, die auf infizierten Geräten gespeicherte Zugangsdaten – häufig aus Browsern – abgreift und systematisch sammelt.
Ein klarer Hinweis darauf ist, dass die Passwörter im Dump nicht verschlüsselt, sondern im Klartext vorliegen. Moderne Unternehmen wie PayPal speichern Passwörter ausschließlich gehasht – ein weiterer Punkt, der einen internen Hack nahezu ausschließt.
Was unterscheidet einen System-Hack von einem Infostealer-Leak?
Ein direkter Hack bedeutet den Zugriff auf Server oder interne Datenbanken eines Unternehmens. Ein Leak durch Infostealer hingegen betrifft meist die Endnutzer: Malware auf privaten Geräten stiehlt Daten, ohne dass die Plattform selbst involviert ist. Diese Art von Leak ist besonders perfide, da Nutzer glauben, sie seien sicher – obwohl sie es nicht sind.
Was steckt im Datensatz – und wie gefährlich ist er wirklich?
Verschiedene Sicherheitsforscher haben erste Einblicke in den Datensatz erhalten. Die Inhalte bestehen aus einer Mischung echter, gefälschter und Test-Konten. Wiederholungen von Passwörtern, unvollständige Datensätze und inkonsistente Domains deuten darauf hin, dass nicht alle 15,8 Millionen Einträge valide sind. Dennoch bleibt die Bedrohung real – vor allem für Nutzer, die ihr PayPal-Passwort auch auf anderen Seiten verwenden.
Credential Stuffing als reale Gefahr
Das strukturierte Format der Daten ermöglicht es Angreifern, automatisierte Login-Versuche auf PayPal durchzuführen. Dabei werden die Zugangsdaten massenhaft getestet – häufig mit beängstigend hoher Erfolgsquote. Besonders gefährdet sind Nutzer, die auf Zwei-Faktor-Authentifizierung verzichten oder unsichere Passwörter verwenden.
Reaktionen aus der Community: Zurückhaltung und Skepsis
Obwohl die Meldung in Fachkreisen hohe Wellen schlägt, bleibt die öffentliche Diskussion – etwa auf Plattformen wie Reddit oder X (ehemals Twitter) – erstaunlich ruhig. In Subreddits wie r/InfosecNews wurde der Fall zwar thematisiert, die Resonanz jedoch war verhalten. Einige Nutzer äußerten Zweifel an der Echtheit und Aktualität der Daten. Dennoch warnen Cybersecurity-Accounts auf X aktiv vor möglichen Risiken und rufen zur Passwortänderung auf.
Fragen, die sich Nutzer jetzt stellen – und die wichtigsten Antworten
Wurde PayPal wirklich gehackt und wurden 15,8 Millionen Konten kompromittiert?
Nein, ein direkter Hack bei PayPal liegt nach aktuellem Stand nicht vor. Die Daten stammen vermutlich aus früheren Phishing-Kampagnen oder Infostealer-Malware-Angriffen auf Nutzergeräte.
Wie teuer ist der Verkauf von 15,8 Millionen PayPal-Zugangsdaten?
Der Dump wird für 750 US-Dollar angeboten – ein ungewöhnlich niedriger Preis, der Experten zufolge auf geringe Datenqualität hinweist.
Wie können Nutzer feststellen, ob ihre PayPal-Informationen betroffen sind?
Da PayPal keine konkreten Konten benennt, ist Eigeninitiative gefragt. Nutzer sollten Passwörter sofort ändern, Zwei-Faktor-Authentifizierung aktivieren und ihre Transaktionshistorie auf Auffälligkeiten prüfen.
Sind die angebotenen Passwörter echt oder könnten es auch Falschangaben sein?
Analysen zeigen, dass der Datensatz eine Mischung aus echten und gefälschten Einträgen enthält. Die Existenz echter Zugangsdaten im Klartext bleibt dennoch ein ernstzunehmendes Risiko.
Empfohlene Schutzmaßnahmen für PayPal-Nutzer
Auch wenn keine offizielle Bestätigung für einen aktuellen Hack vorliegt, sollten Nutzer die folgenden Maßnahmen ergreifen:
- Passwort umgehend ändern – insbesondere bei mehrfach verwendeten Kombinationen.
- Zwei-Faktor-Authentifizierung aktivieren – bei PayPal und allen anderen wichtigen Diensten.
- Passwort-Manager verwenden, um komplexe und einmalige Zugangsdaten zu generieren und zu speichern.
- Kontoaktivitäten überwachen – verdächtige Transaktionen sofort melden.
- Phishing-Sensibilität erhöhen – E-Mails oder SMS immer kritisch hinterfragen und nicht direkt auf Links klicken.
Vertrauen der Nutzer bröckelt – Zahlen belegen Unsicherheit
Eine aktuelle Nutzerstudie zeigt, dass das Vertrauen in PayPal bei sicherheitsbewussten Kunden spürbar abgenommen hat. Der sogenannte „Word-of-Mouth“-Index sank von 22 % auf etwa 17 % innerhalb weniger Monate. Auch geben 62 % der befragten Nutzer an, dass sie sich von mangelnder Sicherheitskommunikation besonders betroffen fühlen.
Ein weiteres Problem: 56 % der Befragten nutzen nach wie vor dieselben Passwörter auf mehreren Plattformen – eine Praxis, die Angreifern Tür und Tor öffnet.
Technische Einordnung: Aufbau und Ursprung des Leaks
Der angebotene Dump wurde laut Metadaten im Mai 2025 erstellt. Experten vermuten, dass viele Daten deutlich älter sind – einige möglicherweise aus dem Jahr 2022. Der Dump scheint in strukturierter Form exportiert worden zu sein, mit standardisierten PayPal-Links wie /signin und /connect, was auf eine gezielte Vorbereitung für Credential-Stuffing hinweist.
| Merkmal | Details |
|---|---|
| Größe des Dumps | 1,1 GB |
| Anzahl enthaltener Einträge | ca. 15,8 Millionen |
| Preis im Darknet | 750 US-Dollar |
| Inhalte | E-Mail, Klartext-Passwörter, PayPal-URLs |
| Vermutete Herkunft | Infostealer / Combolist / Altleaks |
PayPals Vergangenheit: Kein Einzelfall
Bereits im Dezember 2022 wurde PayPal zum Ziel eines groß angelegten Credential-Stuffing-Angriffs, bei dem etwa 35.000 Konten kompromittiert wurden. Auch damals war kein direkter Datenabfluss bei PayPal selbst verantwortlich, sondern die Verwendung gestohlener Zugangsdaten aus Drittsystemen.
Der aktuelle Vorfall scheint in dieser Linie zu stehen: Kein System-Hack, aber ein massiver Vertrauensverlust durch die Möglichkeit, dass private Zugangsdaten abgegriffen und weiterverkauft wurden.
Schlussgedanken: Zwischen Alarmismus und Vorsicht
Ob die angebotenen 15,8 Millionen Zugangsdaten tatsächlich authentisch und aktiv nutzbar sind, lässt sich derzeit nicht abschließend beurteilen. Klar ist jedoch: Die Bedrohung durch Infostealer, Combolist-Leaks und Phishing bleibt real – und sie betrifft nicht nur PayPal, sondern alle Dienste mit Login-Funktion.
Gerade weil viele Nutzer ihre Zugangsdaten mehrfach verwenden, reichen schon alte Daten aus, um neue Schäden zu verursachen. Deshalb sollten PayPal-Kunden und alle Internetnutzer solche Vorfälle zum Anlass nehmen, ihre eigenen Sicherheitsmaßnahmen zu überdenken – bevor es zu spät ist.
Ein einfacher Passwortwechsel kann in solchen Fällen der Unterschied zwischen Sicherheit und digitalem Albtraum sein.
