Archetyp Links

Angeblicher Paypal-Datenleak: Wer auf Nummer sicher gehen möchte, sollte prüfen, ob er oder sie betroffen ist. Ein angeblicher Massendiebstahl von Millionen von Paypal-Zugangsdaten bewegt viele Kundinnen und Kunden. Ein Experte erklärt, was es damit auf sich hat und was man nun tun kann. Es ist ein Schnäppchenpreis für so wertvolle Daten: Ein Hacker bietet im Internet mehr als 15 Millionen Daten von Paypal-Kunden für nur 750 US-Dollar an. Die Daten sollen unter anderem E-Mail-Adressen und Passwörter erhalten. Paypal ist in Deutschland die populärste Methode, um online zu bezahlen. Laut dem in Köln ansässigen EHI Retail Institute hat Paypal bei Onlinezahlungen in Deutschland einen Marktanteil von 28,5 Prozent. Mehr als 30 Millionen Deutsche nutzen den Bezahldienst aus den USA. Für sie alle bedeutet das Datenangebot nun: Sie müssen aktiv werden. Was ist bisher bekannt? Das Material, das ein Hacker im Darknet derzeit anbietet, umfasst 15,8 Millionen Daten von Paypal-Kunden. Laut der Website Hackread handelt es sich um einen Datensatz in der Größe von 1,1 Gigabyte. Der Hacker namens "Chucky_BF" verkauft demnach Anmeldedaten für Paypal-Konten aus der ganzen Welt. Dazu gehören unter anderem E-Mail-Adressen und Klartext-Passwörter. All das geschieht offenbar unter dem Titel "Global Paypal Credential Dump 2025", wie ein Screenshot auf der Plattform X zeigt. Sind das echte Zugangsdaten? Unklar bleibt bislang, ob die Daten echt sind. Paypal hat sich bis zum Mittwochmorgen nicht zur Sache geäußert. Die IT-Security-Website Hackread hat sich eigenen Angaben zufolge einige der Daten angeschaut und schreibt, dass es sich wohl um eine Mischung aus echten sowie Test- und Fake-Konten handelt. Dies sei bei gestohlenen Datenbanken häufig der Fall. Selbst wenn die Daten echt sind, heißt das nicht, dass Paypal gehackt wurde. Der Verkäufer könnte die Daten auch auf anderen Wegen als durch ein Leak oder einen Hack erlangt haben. Möglich wäre etwa, dass Nutzer die Kombination aus E-Mail-Adressen und Passwörtern bereits auf anderen gehackten Webseiten verwendet haben, deren Datensatz öffentlich geworden ist. Oder aber einzelne Daten wurden über Schadsoftware erlangt, die sich auf Computern einschleicht und diese bewusst nach gespeicherten Passwörtern oder Zugangsdaten durchsucht. Einfangen kann man sich diese als Nutzer etwa über einen angeklickten Link in einer Phishing-E-Mail. Der Verkäufer könnte solche Daten theoretisch aus verschiedenen Quellen zusammengesammelt und dann als Paket kuratiert haben, damit es sich im Darknet besser verkauft. Was müssen Nutzer jetzt tun? Egal, ob Hack oder nicht: Verbraucher sollten Vorsicht walten lassen und ihre Zugangsdaten bei Paypal so bald wie möglich ändern. Möglich ist das auf der Website des US-Konzerns. Dort müssen eingeloggte Nutzer oben rechts auf das Einstellungsrädchen und dann im Menü auf "Sicherheit" klicken. Dort lässt sich das aktuelle Passwort gegen ein neues austauschen. Auch lässt sich dort eine Zwei-Faktor-Authentifizierung einrichten, die unbedingt zu empfehlen ist. Dafür verknüpfen Kunden ihr Paypal-Konto mit einer Authentifizierungs-App, etwa Google Authenticator. An diese wird in Zukunft bei jedem Login ein Code geschickt, den man dann in der Paypal-App oder im Webbrowser eingeben muss. Das macht es für Angreifer deutlich schwieriger, sich in das Konto einzuloggen, selbst wenn sie irgendwie an die Anmeldedaten und das Passwort gelangt sind. Es empfiehlt sich, eine Zwei-Faktor-Authentifizierung für alle Webseiten und Online-Dienste zu nutzen, nicht nur für Paypal. Darüber hinaus sollten Kunden des US-Konzerns in den kommenden Tagen ihr Konto im Blick behalten. Gibt es Logins von ungewöhnlichen Browsern, Tablets oder Smartphones? Tauchen dort plötzlich Zahlungen auf, die man nicht autorisiert hat? Dann sollte man sich schnellstmöglich an Paypal wenden und um Hilfe bitten. Hilft der US-Konzern nicht, sollten Nutzer zudem Anzeige bei der Polizei erstatten. Das geht mittlerweile auch online. Was muss man bei einem neuen Passwort beachten? An einem guten Passwort führt kein Weg vorbei. Die oberste Regel für das neue Passwort muss sein: niemals dasselbe Passwort für mehrere Webseiten oder Online-Dienste verwenden. Hacker und Verbrecher könnten so über nur ein Leak oder einen Hack die Möglichkeit erhalten, sich mit ihren Anmeldedaten bei vielen verschiedenen Webseiten einzuloggen, und so großen Schaden anrichten. Stattdessen sollte man für jede Webseite, jede Banking-App und jeden anderen Dienst unbedingt ein eigenes und einmaliges Passwort nutzen. Zusätzlich sollte das neue Passwort stark sein. Das bedeutet: Kombinationen wie "12345678", "Passwort123" oder "Hund12!", sind tabu. Weil sie so häufig verwendet werden, könnten Angreifer einfach versuchen, solche gängigen Passwörter mit einer E-Mail-Adresse zu kombinieren und sich so Zugang zum Konto verschaffen. Nutzen Sie stattdessen wilde Kombinationen aus Buchstaben, Zahlen, Groß- und Kleinschreibung und Sonderzeichen, die noch dazu möglichst lang sind. Das erhöht die Sicherheit für die eigenen Konten enorm. Sollten Nutzer nun etwas unternehmen, wenn sie das Paypal-Passwort auch auf anderen Webseiten verwenden? Unbedingt. Angreifer nutzen mehrfach verwendete Passwörter, indem sie die Kombination aus E-Mail-Adresse und Passwort auf beliebten Online-Webseiten durchprobieren. Wird ein Passwort mehrfach verwendet und ist keine Zwei-Faktor-Authentifizierung eingerichtet, können sich Diebe so leicht Zugang zu diversen Online-Konten verschaffen. Auch bei diesen Passwortwechseln gilt: Keine generischen, sondern einmalige, starke Passwörter verwenden. Man hat eine Mail von Paypal bekommen, mit der Aufforderung, das Passwort zu ändern. Gibt es etwas zu beachten? Diese Mail ist wahrscheinlich gefälscht und dient nur dazu, weitere Zugangsdaten abzugreifen. Angreifer werden die Angst der Menschen nutzen und vermehrt solche Phishing-Mails verschicken. Paypal hat bisher keine Mitteilung herausgegeben, in der sie diesen Schritt ankündigen. Man sollte auf keinen Fall auf den Link der E-Mail klicken, sondern sich nur direkt über die Webseite oder die App einloggen, um das Passwort zu ändern. Starke Passwörter sind schwer zu merken. Und jetzt? Wer sich die komplizierten Passwörter nicht merken kann, könnte über einen Passwort-Manager nachdenken. Dort sind beispielsweise alle Passwörter eines Nutzers gespeichert und können so automatisch auf Webseiten eingegeben werden. Nutzerinnen und Nutzer müssen sich dann nur noch ein Master-Passwort merken. Das wiederum sollte ebenfalls stark sein, generische Kombinationen sind zu vermeiden. Alternativ kann man auch einen sogenannten Passkey nutzen. Das ist eine Authentifizierungsmethode, bei der man sich über den Austausch eines digitalen Schlüssels mit dem Anbieter bei einem Online-Dienst anmeldet. Das kann entweder über eine App oder über ein spezielles USB-Gerät passieren - fast so, als würde man einen normalen Schlüssel in ein Türschloss stecken, um es aufzuschließen.