Notícias sobre privacidade

O pior hack do PayPal da história, ou será que é?

O PayPal foi pirateado em 2025? É o que afirma alguém na dark web. Vamos descobrir.

Was PayPal hacked in 2025? Someone on the dark web claims to sell almost 16 million of PayPal users' login credentials, which makes it the worst PayPal hack in history. But was PayPal really hacked?

Cerca de 16 milhões de credenciais do PayPal, incluindo endereços de correio eletrónico de início de sessão e palavras-passe, apareceram à venda num fórum da dark web. Enquanto os hackers dizem que os dados são novos, o PayPal nega, alegando que os dados são de um incidente anterior em 2022. Vamos ver se o PayPal foi hackeado e se realmente é o pior hack do PayPal de todos os tempos.

As preocupações com uma potencial pirataria de dados do PayPal aumentaram depois de um post ter aparecido a 16 de agosto num mercado da dark web, oferecendo 15,8 milhões de credenciais de login de utilizadores do PayPal para venda. O autor da ameaça, chamado Chucky-BF, publicou o que descreveu como “Global PayPal Credential Dump 2025”. Os dados incluem os endereços de e-mail de login e as senhas em texto simples de quase 16 milhões de usuários do PayPal, disse o hacker.

Screenshot der Anzeige im Dark Web mit dem Titel „Global PayPal Credential Dump 2025 – 15,8 Millionen E-Mails und Klartext-Passwörter – 1,1 GB” Screenshot der Anzeige im Dark Web mit dem Titel „Global PayPal Credential Dump 2025 – 15,8 Millionen E-Mails und Klartext-Passwörter – 1,1 GB”

O post na dark web anuncia quase 16 milhões de credenciais do PayPal à venda, levando as pessoas a acreditar que o PayPal foi hackeado em 2025. Imagem: Cybernews.

O PayPal negou a violação de dados, e seu representante disse ao Cybernews que o post é sobre um incidente passado que ocorreu em 2022. Embora não esteja confirmado se o PayPal foi pirateado, as alegações também não podem ser verificadas de forma independente devido ao facto de o tamanho da amostra dos dados ser demasiado pequeno. Os especialistas também afirmaram que não acreditam que o PayPal tenha sofrido uma violação de dados, mas sugerem que as informações podem ter sido obtidas noutro local, por exemplo, através de malware infostealer. Se o malware infostealer foi utilizado, as credenciais teriam sido extraídas diretamente dos dispositivos dos utilizadores, o que explicaria o facto de a estrutura do conjunto de dados corresponder a registos infostealer conhecidos. Além disso, os dados estão a ser vendidos por um preço baixo, o que sugere que as credenciais não são de uma nova fuga.

No entanto, não importa realmente se essa invasão de dados ocorreu recentemente ou no passado. Agora, milhões de contas bancárias online de utilizadores do PayPal estão em risco.

Turn ON Privacy in one click.

Pirataria do PayPal: O que se sabe

O atacante, sob o nome de Chucky-BF, afirma que os dados foram recolhidos em maio de 2025 e contêm os dados sensíveis de contas PayPal de todo o mundo. É preocupante que as credenciais de milhões de utilizadores estejam à venda, mas o que o torna mais ameaçador é o tipo de dados que se diz estarem à venda.

Isto inclui os utilizadores do PayPal:

  • Endereços de correio eletrónico para início de sessão

  • Senhas em texto simples

  • URLs associados com links para serviços PayPal

  • Variantes

Se o despejo de dados à venda for confirmado como verdadeiro, as contas PayPal estarão em risco de acesso não autorizado e de atividade maliciosa. Além de afetar um grande número de contas PayPal, outro problema é que a violação pode levar a um maior comprometimento da identidade digital de um utilizador, por exemplo, levando ao roubo de identidade, fraude financeira e revenda das contas dos utilizadores. Para dar um exemplo, se um utilizador tiver as mesmas credenciais de início de sessão para várias contas, um ataque de credential stuffing com os dados PayPal adquiridos pode permitir que agentes maliciosos tenham acesso a mais contas online.

A maior ameaça para os utilizadores é se utilizarem a mesma palavra-passe para a sua conta de correio eletrónico e para o PayPal. Embora o PayPal exija atualmente a autenticação de dois factores (e, por conseguinte, deva ser bastante seguro apesar desta pirataria), a maioria dos fornecedores de correio eletrónico não o faz. Ao conseguir comprar um conjunto de dados que consiste em endereços de e-mail e palavras-passe do PayPal, os atacantes maliciosos podem agora testar se as palavras-passe do PayPal também funcionam nas contas de e-mail mencionadas. Desta forma, podem apoderar-se não só da conta de e-mail da vítima, mas também de outras contas que estão associadas ao seu endereço de e-mail através da popular função de reposição de palavra-passe por e-mail.

É por isso que nós, na Tuta Mail, recomendamos vivamente a utilização da autenticação de dois factores, de preferência com U2F, uma vez que é o método mais seguro.

Turn ON Privacy in one click.

Conclusão

Por enquanto, ainda não está claro se esse pode ser o pior hack do PayPal da história. Mas quer o hack do PayPal seja real ou não, deve redefinir a sua palavra-passe do PayPal com um código de acesso forte com um mínimo de 16 caracteres. Esta é uma forma simples e fácil de proteger as suas contas online de potenciais ameaças e fugas de dados. E para uma segurança de início de sessão ainda melhor, recomendamos a utilização do U2F como autenticação de dois factores para proteger o seu início de sessão do PayPal. Desta forma, não terá de se preocupar com qualquer potencial hack do PayPal que esteja a ser notícia. Se acredita que a sua conta PayPal ou qualquer outra conta online foi comprometida, pode verificar se foi ou não pirateada com estas dicas.

Passos adicionais para garantir a segurança das suas contas online:

Perguntas frequentes

O PayPal foi invadido em 2025?

O PayPal nunca comunicou que sofreu uma pirataria informática e não existem provas de que a infraestrutura interna do PayPal tenha sido pirateada. Em 2025, os hackers afirmam ter recuperado com êxito as credenciais de início de sessão de cerca de 16 milhões de utilizadores do PayPal em todo o mundo. O PayPal negou que os dados vazados sejam provenientes de uma invasão recente. Os especialistas em segurança acreditam que estas credenciais de início de sessão foram provavelmente obtidas diretamente dos utilizadores do PayPal através de malware infostealer.

O PayPal foi hackeado em 2024?

Embora as contas de utilizadores individuais do PayPal possam ter sido pirateadas através de diferentes tipos de métodos de pirataria informática, como ataques de phishing ou utilização de palavras-passe fracas, como empresa, o PayPal não foi pirateado em 2024, de acordo com declarações oficiais.

O PayPal sofreu alguma violação de dados?

O PayPal nunca sofreu uma violação direta de dados dirigida aos sistemas internos da própria empresa, mas teve incidentes de segurança. Isso significa que as informações adquiridas nunca foram extraídas diretamente da empresa, mas por meio de outras formas.

Em 2022, o PayPal sofreu uma violação de dados em que atacantes maliciosos acederam a cerca de 35 000 contas de utilizadores através de ataques de credential stuffing. Esta invasão foi possível devido a uma vulnerabilidade de segurança no PayPal. Consequentemente, o ano de 2022 é o pior hack do PayPal na história. A partir de 2025, o gigante tecnológico de Silicon Valley foi condenado a pagar uma multa civil de 2 milhões de dólares devido a falhas de cibersegurança que tornaram possível esta pirataria informática. Esta violação expôs 35 mil dados pessoais de utilizadores, incluindo nomes, moradas, números de identificação fiscal e de segurança social.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.