PayPal-Nutzer im Visier: Hacker bieten 15,8 Millionen Zugangsdaten im Darknet an

Was steckt hinter dem PayPal-Datenleck?

Erstmals tauchte das Angebot in einschlägigen Foren auf der Plattform „BreachForums“ auf. Ein Nutzer mit dem Alias „Chucky_BF“ bietet dort eine Datenbank mit 1,1 Gigabyte Datenvolumen an – laut eigenen Angaben mit 15,8 Millionen Datensätzen, die Klartext-Passwörter und E-Mail-Adressen enthalten. Die Datei enthält sowohl Zugangsdaten zu Web- als auch mobilen PayPal-Accounts.

Laut Analysen der Sicherheitsfirma Bitdefender basiert die Sammlung auf sogenannten Infostealern – also Schadsoftware, die auf den Geräten der Nutzer selbst installiert wurde und dort gespeicherte Logins ausspäht. Es handelt sich demnach nicht um ein Leck bei PayPal selbst, sondern um einen umfassenden Diebstahl durch Schadsoftware-Kampagnen, die über Monate hinweg Daten gesammelt haben.

War PayPal schon früher betroffen?

PayPal war in der Vergangenheit bereits mit Sicherheitsvorfällen konfrontiert – zuletzt im Dezember 2022. Damals wurden rund 35.000 Konten im Rahmen einer sogenannten Credential-Stuffing-Attacke kompromittiert. Dabei nutzten Angreifer zuvor gestohlene Login-Daten, um sich Zugriff auf Konten zu verschaffen. Neben E-Mail-Adressen und Passwörtern wurden dabei auch Namen, Geburtsdaten und in den USA sogar Sozialversicherungsnummern ausgespäht. PayPal informierte die betroffenen Nutzer und setzte die Passwörter zurück.

Laut aktuellen Recherchen scheint der derzeitige Vorfall im Darknet in direktem Zusammenhang mit derartigen Angriffsmethoden zu stehen. Einen klassischen Hack der PayPal-Systeme gab es laut Medienberichten bislang jedoch nicht. Die New Yorker Finanzaufsicht verhängte im Januar 2025 dennoch ein Bußgeld über zwei Millionen US-Dollar wegen Versäumnissen bei der Cybersicherheit.

Besorgniserregende Details zur aktuellen Datenbank:

• 15,8 Millionen Datensätze, laut Anbieter mit gültigen E-Mail-Passwort-Kombinationen
• Datenleck vom 6. Mai 2025, jedoch erst Mitte August entdeckt
• Login-Daten für PayPal-Webzugänge und mobile Endpunkte
• Passwort-Hashes liegen teils im Klartext vor
• Preis im Darknet: umgerechnet nur etwa 750 US-Dollar

Empfehlungen für Betroffene:

• Umgehender Wechsel des PayPal-Passworts – auch bei verbundenen E-Mail-Konten
• Aktivierung der Zwei-Faktor-Authentifizierung (2FA)
• Prüfung, ob dieselben Passwörter bei anderen Diensten verwendet wurden
• Überwachung von Bankkonten und PayPal-Transaktionen
• Nutzung von Passwortmanagern und Identitätsschutz-Tools

Rechtliche Einschätzung durch Dr. Stoll & Sauer

Auch wenn die Daten nicht direkt bei PayPal selbst entwendet wurden, stellt der massenhafte Verkauf personenbezogener Daten im Netz eine erhebliche DSGVO-relevante Gefährdungslage dar. Die Datenschutzgrundverordnung schützt nicht nur vor dem Datenverlust durch Unternehmen, sondern gibt auch Rechte bei der Weiterverbreitung und Nutzung persönlicher Informationen.

Nach Einschätzung der Kanzlei Dr. Stoll & Sauer kommen Schadensersatzansprüche nach Art. 82 DSGVO in Betracht – auch dann, wenn die eigentliche Sicherheitslücke beim Endnutzer entstand. Entscheidend ist, ob ein Missbrauch oder Kontrollverlust über personenbezogene Daten vorliegt – und dies ist hier offensichtlich gegeben.

Besonders relevant ist in diesem Zusammenhang eine Grundsatzentscheidung des Bundesgerichtshofs: Am 18. November 2024 (Az. VI ZR 10/24) stellte der BGH klar, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann. Es reicht also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst wenn kein direkter Missbrauch erfolgt ist. Im entschiedenen Fall sprach der BGH dem Kläger einen symbolischen Schadensersatz in Höhe von 100 Euro zu. Das Gericht betonte in seiner Entscheidung auch, dass der Schadensersatz höher ausfallen könne. Das hänge vom erlittenen Schaden ab. Das Urteil gilt als Leitentscheidung im Bereich DSGVO-Schadensersatz.

Zudem gilt: Sobald ein Unternehmen wie PayPal Kenntnis von einem möglichen Datenleck erlangt, ist es verpflichtet, nach Art. 33 und 34 DSGVO die zuständigen Behörden sowie Betroffene unverzüglich zu informieren. Auch dieser Aspekt wird derzeit kritisch beobachtet – denn bislang hat PayPal öffentlich keine umfassende Warnung an Nutzer in Deutschland ausgesprochen.

Jetzt handeln: Kostenlose Ersteinschätzung im Datenschutz-Online-Check

Betroffene PayPal-Nutzer sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer bietet im Datenschutz-Online-Check eine kostenlose und unverbindliche Ersteinschätzung. Wir helfen dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt unverbindlich prüfen lassen: Datenschutz-Online-Check starten.