Die Besorgnis über einen möglichen Hack von PayPal-Daten wächst, nachdem am 16. August ein Posting auf einem Dark-Web-Marktplatz aufgetaucht ist, in dem die Anmeldedaten von 15,8 Millionen PayPal-Nutzern zum Verkauf angeboten werden. Der “Hacker” mit dem Namen Chucky-BF postete etwas, das er als “Global PayPal Credential Dump 2025” bezeichnete. Die Daten würden die E-Mail-Adressen und Passwörter im Klartext von fast 16 Millionen PayPal-Nutzern enthalten, so der Chucky-BF.

In dem Dark-Web-Posting werden fast 16 Millionen PayPal-Anmeldedaten zum Verkauf angeboten, was zu der Annahme führt, dass PayPal im Jahr 2025 gehackt wurde. Bild: Cybernews.

PayPal hat die Datenverletzung dementiert, und ein Sprecher des Unternehmens erklärte gegenüber Cybernews, dass es sich bei den Daten um einen vergangenen Vorfall aus dem Jahr 2022 handeln könnte. Es bleibt zwar unbestätigt, ob PayPal gehackt wurde, aber die Behauptungen können auch nicht unabhängig überprüft werden, da die Stichprobengröße der Daten zu gering ist. Experten haben auch gesagt, dass sie nicht glauben, dass PayPal selbst einen Daten-Leak erlitten hat, sondern dass die Informationen anderswo erlangt worden sein könnten, zum Beispiel durch Infostealer-Malware. Wenn Infostealer-Malware verwendet wurde, wären die Anmeldedaten direkt von den Geräten der Nutzer extrahiert worden, was erklären würde, warum die Struktur des Datensatzes mit bekannten Infostealer-Protokollen übereinstimmt. Außerdem werden die Daten zu einem niedrigen Preis verkauft, was darauf hindeutet, dass die Anmeldedaten nicht von einem neuen Leak stammen.

Es spielt jedoch keine Rolle, ob dieser Datenhack erst kürzlich stattgefunden hat oder schon länger zurückliegt. Durch diesen Hack sind die Online-Konten von Millionen von PayPal-Nutzern in Gefahr.

Schalte die Privatsphäre ein.

Get

PayPal-Hack: Was bekannt ist

Der Angreifer mit dem Namen Chucky-BF behauptet, die Daten seien im Mai 2025 gesammelt worden und enthielten die sensiblen Daten von PayPal-Konten aus aller Welt. Es ist besorgniserregend, dass die Zugangsdaten von Millionen von Nutzern zum Verkauf stehen sollen, aber noch bedrohlicher ist die Art der Daten, die zum Verkauf stehen sollen.

Dazu gehören folgende Daten von PayPal-Nutzern:

• E-Mail-Adressen für die Anmeldung

• Passwörter im Klartext

• Zugehörige URLs mit Links zu PayPal-Diensten

• Varianten

Wenn sich der zum Verkauf stehende Daten-Dump als wahr erweist, sind PayPal-Konten dem Risiko eines unbefugten Zugriffs und bösartiger Aktivitäten ausgesetzt. Dies wird nicht nur eine große Anzahl von PayPal-Konten betreffen, sondern ein weiteres Problem besteht darin, dass die Sicherheitsverletzung zu einer weiteren Kompromittierung der digitalen Identität eines Benutzers führen könnte, was beispielsweise zu Identitätsdiebstahl, Finanzbetrug und dem Weiterverkauf von Benutzerkonten führen könnte. Wenn ein Nutzer beispielsweise dieselben Anmeldedaten für mehrere Konten hat, könnte ein Credential-Stuffing-Angriff mit den erbeuteten PayPal-Daten böswillige Akteure in die Lage versetzen, Zugang zu weiteren Online-Konten zu erlangen.

Die größte Bedrohung für Nutzer besteht, wenn sie dasselbe Passwort für ihr E-Mail-Konto und für PayPal verwenden. Während PayPal heutzutage eine 2-Faktor-Authentifizierung verlangt (und daher trotz dieses Hacks ziemlich sicher sein sollte), tun dies die meisten E-Mail-Anbieter nicht. Durch den Kauf eines Datensatzes, der aus E-Mail-Adressen und PayPal-Passwörtern besteht, können böswillige Angreifer nun testen, ob die PayPal-Passwörter auch bei den genannten E-Mail-Konten funktionieren. Auf diese Weise können sie nicht nur das E-Mail-Konto des Opfers übernehmen, sondern auch andere Konten, die über die beliebte (aber gefährliche!) Passwort-Rücksetzfunktion per E-Mail mit dessen E-Mail-Adresse verbunden sind.

Aus diesem Grund empfehlen wir von Tuta Mail dringend die Verwendung einer Zwei-Faktor-Authentifizierung, am besten mit U2F, da dies die sicherste Methode ist.

Schalte die Privatsphäre ein.

Get

Die Quintessenz

Im Moment ist noch unklar, ob es sich um den schlimmsten PayPal-Hack der Geschichte handelt. Unabhängig davon, ob der PayPal-Hack real ist oder nicht, sollten Sie Ihr PayPal-Passwort ändern, und zwar auf ein starkes Passwort mit mindestens 16 Zeichen. So können Sie Ihre Online-Konten auf einfache Weise vor potenziellen Bedrohungen und Datenlecks schützen. Für eine noch bessere Anmeldesicherheit empfehlen wir die Verwendung von U2F als Zwei-Faktor-Authentifizierung zum Schutz Ihres PayPal-Logins. Auf diese Weise müssen Sie sich keine Sorgen über einen potenziellen PayPal-Hack machen, der in den Nachrichten auftaucht. Wenn Sie glauben, dass Ihr PayPal-Konto oder ein anderes Online-Konto kompromittiert wurde, können Sie mit diesen Tipps überprüfen, ob das betreffende Konto gehackt wurde oder nicht.

Ergreifen Sie zusätzliche Maßnahmen, um die Sicherheit Ihrer Online-Konten zu gewährleisten:

• Verwenden Sie einen Passwort-Manager, um auf einfache Weise sichere Passwörter zu erstellen und zu speichern.

• Verwenden Sie E-Mail-Aliasnamen, um Ihre Identität zu schützen, und geben Sie Ihre Haupt-E-Mail-Adresse nicht weiter.

• Seien Sie vorsichtig, wenn Sie auf Links klicken, insbesondere in E-Mails, bei denen es sich um Phishing handeln könnte.

• Wenn Sie online per E-Mails oder Chat-Nachrichten kommunizieren, stellen Sie sicher, dass Ihre Kommunikation mit einer Ende-zu-Ende-Verschlüsselung gesichert ist.

FAQs

Wurde PayPal im Jahr 2025 gehackt?

PayPal hat nie gemeldet, dass das Unternehmen gehackt wurde, und es gibt keine Beweise dafür, dass die interne Infrastruktur von PayPal gehackt worden ist. Im Jahr 2025 behaupteten Hacker, erfolgreich die Anmeldedaten von ~16 Millionen PayPal-Nutzern aus aller Welt ergaunert zu haben. PayPal hat dementiert, dass die durchgesickerten Daten aus einem kürzlich erfolgten Hack stammen. Sicherheitsexperten glauben, dass diese Anmeldedaten wahrscheinlich direkt von PayPal-Nutzern durch Infostealer-Malware erlangt wurden.

Wurde PayPal im Jahr 2024 gehackt?

Obwohl die Konten einzelner PayPal-Nutzer durch verschiedene Hacking-Methoden wie Phishing-Angriffe oder die Verwendung schwacher Passwörter gehackt worden sein könnten, wurde PayPal als Unternehmen nach offiziellen Angaben im Jahr 2024 nicht gehackt.

Hatte PayPal schon einmal Datenschutzverletzungen?

PayPal hat nie eine direkte Datenverletzung erlitten, die sich gegen die internen Systeme des Unternehmens richtete, aber es gab Sicherheitsvorfälle. Das bedeutet, dass die erlangten Informationen nie direkt aus dem Unternehmen stammen, sondern auf andere Weise gewonnen wurden.

Im Jahr 2022 kam es bei PayPal zu einer Datenpanne, bei der böswillige Angreifer durch “Credential Stuffing”-Angriffe auf rund 35.000 Benutzerkonten zugriffen. Dieser Hack war aufgrund einer Sicherheitslücke in PayPal möglich. Somit ist im Jahr 2022 der schlimmste PayPal-Hack in der Geschichte passiert. Anfang 2025 wurde der Tech-Gigant aus dem Silicon Valley zu einer zivilrechtlichen Geldstrafe in Höhe von 2 Millionen Dollar verurteilt, weil er Sicherheitsmängel begangen hatte, die diesen Hack ermöglichten. Durch die Sicherheitsverletzung wurden 35.000 persönliche Daten von Nutzern preisgegeben, darunter Namen, Adressen, Steueridentifikationsnummern und Sozialversicherungsnummern.