Aktuelles, Experten - geschrieben von dp am Montag, August 25, 2025 16:51 - noch keine Kommentare
Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht
Offenbar massives Datenleck aufgetreten, welches Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte
[datensicherheit.de, 25.08.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH geht in einer Stellungnahme vom 25. August 2025 auf ein offenbar massives Datenleck ein, welches demnach eine Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte: Im sogenannten Darknet sollen Zugangsdaten zu rund 15,8 Millionen „PayPal“-Konten aufgetaucht sein. „Die Datenbank enthält E-Mail-Adressen und Passwörter – und soll laut Experten aus einem koordinierten Malware-Angriff stammen. Die Daten könnten zur Übernahme von Konten und für gezielten Identitätsmissbrauch verwendet werden.“ Betroffen seien nach ersten Einschätzungen auch viele Nutzer aus Europa und Deutschland. Laut einem Bericht von „FOCUS Online“ wurden die Daten bereits am 6. Mai 2025 kompromittiert und nun zum Verkauf angeboten. Die Verbraucherkanzlei Dr. Stoll & Sauer prüft nach eigenen Angaben rechtliche Ansprüche auf Schadensersatz nach Art. 82 DSGVO und bietet Betroffenen eine kostenlose Ersteinschätzung im „Datenschutz-Online-Check“ an.
„PayPal“-Datenleck mittels sogenannter Info-Stealern, welche auf den Geräten der Nutzer installiert dort gespeicherte Logins ausspähten
Erstmals sei das Angebot in einschlägigen Foren auf der Plattform „BreachForums“ aufgetaucht. Ein Nutzer mit dem Alias „Chucky_BF“ biete dort eine Datenbank mit 1,1 Gigabyte Datenvolumen an – laut eigenen Angaben mit 15,8 Millionen Datensätzen, „die Klartext-Passwörter und E-Mail-Adressen enthalten“.
- Diese Datei enthalte sowohl Zugangsdaten zu Web- als auch mobilen „PayPal“-Accounts. Laut Analysen der Sicherheitsfirma Bitdefender basiere diese Sammlung auf sogenannten Info-Stealern – also Schadsoftware, welche auf den Geräten der Nutzer selbst installiert worden sei und dort gespeicherte Logins ausgespäht habe.
Es handele sich demnach nicht um ein Leck bei „PayPal“ selbst, sondern um einen umfassenden Diebstahl durch Schadsoftware-Kampagnen, welche über Monate hinweg Daten gesammelt hätten.
Betreiber PayPal bereits mehrfach mit Sicherheitsvorfällen konfrontiert
PayPal sei in der Vergangenheit bereits mit Sicherheitsvorfällen konfrontiert gewesen – zuletzt im Dezember 2022. „Damals wurden rund 35.000 Konten im Rahmen einer sogenannten ,Credential Stuffing’-Attacke kompromittiert. Dabei nutzten Angreifer zuvor gestohlene Login-Daten, um sich Zugriff auf Konten zu verschaffen.“
- Neben E-Mail-Adressen und Passwörtern seien dabei auch Namen, Geburtsdaten und in den USA sogar Sozialversicherungsnummern ausgespäht worden. PayPal habe damals die betroffenen Nutzer informiert und die Passwörter zurückgesetzt.
Laut aktuellen Recherchen scheine der derzeitige Vorfall im „Darknet“ in direktem Zusammenhang mit derartigen Angriffsmethoden zu stehen. „Einen klassischen Hack der ,PayPal’-Systeme gab es laut Medienberichten bislang jedoch nicht.“ Die New Yorker Finanzaufsicht habe im Januar 2025 dennoch ein Bußgeld über zwei Millionen US-Dollar wegen Versäumnissen bei der Cybersicherheit verhängt.
Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte im „Darknet“-Angebot
Besorgniserregende Details zur aktuellen Datenbank:
- 15,8 Millionen Datensätze, laut Anbieter mit gültigen E-Mail-Passwort-Kombinationen Datenleck vom 6. Mai 2025, jedoch erst Mitte August 2025 entdeckt
- Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte
- Passwort-Hashes teilweise im Klartext
- Preis im sog. Darknet umgerechnet nur etwa 750 US-Dollar
Empfehlungen für Betroffene:
- Umgehender Wechsel des „PayPal“-Passworts – auch bei verbundenen E-Mail-Konten!
- Aktivierung der Zwei-Faktor-Authentifizierung (2FA)!
- Prüfung, ob dieselben Passwörter bei anderen Diensten verwendet wurden!
- Überwachung von Bankkonten und „PayPal“-Transaktionen!
- Nutzung von Passwortmanagern und Identitätsschutz-Tools!
Schadensersatzansprüche nach Art. 82 DSGVO möglich – auch wenn Sicherheitslücke beim Endnutzer und nicht bei PayPal liegt
„Auch wenn die Daten nicht direkt bei ,PayPal’ selbst entwendet wurden, stellt der massenhafte Verkauf personenbezogener Daten im Netz eine erhebliche DSGVO-relevante Gefährdungslage dar!“ Die DSGVO schütze nicht nur vor dem Datenverlust durch Unternehmen, sondern gebe auch Rechte bei der Weiterverbreitung und Nutzung persönlicher Informationen.
- Nach Einschätzung der Kanzlei Dr. Stoll & Sauer kommen Schadensersatzansprüche nach Art. 82 DSGVO in Betracht – „auch dann, wenn die eigentliche Sicherheitslücke beim Endnutzer entstand“. Entscheidend sei, ob ein Missbrauch oder Kontrollverlust über personenbezogene Daten vorliege – und dies sei hier offensichtlich gegeben.
Besonders relevant sei in diesem Zusammenhang eine Grundsatzentscheidung des Bundesgerichtshofs (BGH): „Am 18. November 2024 (Az. VI ZR 10/24) stellte der BGH klar, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann.“ Es reiche also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst wenn kein direkter Missbrauch erfolgt ist.
Sobald PayPal Kenntnis von dem Datenleck erlangte, bestand die Pflicht nach Art. 33 und 34 DSGVO unverzüglich zu informieren
Im entschiedenen Fall habe der BGH dem Kläger einen symbolischen Schadensersatz in Höhe von 100 Euro zugesprochen. „Das Gericht betonte in seiner Entscheidung auch, dass der Schadensersatz höher ausfallen könne.“ Dies hänge vom erlittenen Schaden ab. Dieses Urteil gelte als Leitentscheidung im Bereich DSGVO-Schadensersatz.
- Zudem gelte: „Sobald ein Unternehmen wie PayPal Kenntnis von einem möglichen Datenleck erlangt, ist es verpflichtet, nach Art. 33 und 34 DSGVO die zuständigen Behörden sowie Betroffene unverzüglich zu informieren.“ Auch dieser Aspekt werde derzeit kritisch beobachtet – denn bislang habe PayPal öffentlich keine umfassende Warnung an Nutzer in Deutschland ausgesprochen.
Betroffene „PayPal“-Nutzer sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer bietet im „Datenschutz-Online-Check“ eine kostenlose und unverbindliche Ersteinschätzung an: „Wir helfen dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt unverbindlich prüfen lassen: ,Datenschutz-Online-Check’ starten!“
Weitere Informationen zum Thema:
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Ihre Kanzlei – kompetent und unkompliziert / Wir machen uns stark für Ihr Recht
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Datenschutz-Online-Check
FOCUS online, 22.08.2025
Großer Hack? 15,8 Millionen Paypal-Passwörter angeblich geleakt: So prüfen Sie, ob Sie betroffen sind
Handelsblatt, 21.08.2025
Paypal: Daten im Darknet – So lässt sich das eigene Konto schützen / Ein Leak von 15,8 Millionen Nutzungsdaten verunsichert die Paypal-Kunden. Was hilft, um einen Missbrauch des eigenen Kontos wirksam zu verhindern.
Verbraucherzentrale, 21.08.2025
PayPal-Datenleck – Was Sie jetzt tun sollten / Berichte über ein angebliches PayPal-Datenleck verbreiten sich. Wir erklären, was bisher bekannt ist und wie Sie Ihr Konto schützen können.
BR 24, Thomas Moßburger, 20.08.2025
Millionen Paypal-Logins im Netz? Was jetzt hilft – und was nicht / 15 Millionen Zugangsdaten zu Paypal-Konten werden derzeit im Netz angeboten. Gehen nun Kriminelle mit Ihrem Paypal-Account auf Shopping-Tour? Ausschließen kann man das nie, sich schützen dagegen sehr wohl.
datensicherheit.de, 17.12.2024
Verbraucherzentrale Nordrhein-Westfalen kommentiert Betrug mit PayPal-Gastzahlung / „PayPal“ beruft sich auf Maßnahmen zu Risikomanagement und Betrugsprävention bei der Abwicklung von Zahlungen
datensicherheit.de, 30.10.2023
PayPal gibt Hinweise zum Erkennen betrügerischer E-Mails / Auf keinen Fall verdächtige E-Mails beantworten und darin enthaltene Links anklicken oder Anhänge öffnen!
datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Aug. 25, 2025 16:51 - noch keine Kommentare
Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht
weitere Beiträge in Experten
- Pläne zur IP-Adressenspeicherung: eco kritisiert Rückschritt in die Überwachung
- 5-Punkte-Plan des eco für zukunftsorientierte Rechenzentrumsstrategie des Bundes
- BfDI legt Berufung ein: Fanpage-Verfahren in der nächsten Runde
- „E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne
- Palantir in der Diskussion: „Gotham“ notwendiges Instrument der Sicherheitsbehörden oder Schlüssel zum Überwachungsstaat
Aktuelles, Branche - Aug. 25, 2025 0:16 - noch keine Kommentare
Mehr als ein rein technisches Problem: Cybersicherheit eine Frage der Haltung
weitere Beiträge in Branche
- KnowBe4-Warnung: Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen als Unternehmen anderer Branchen
- Aktuelle DACH-Managementstudie: Führungskräfte sehen Großunternehmen bei Cybersicherheit im Vorteil
- Chat-Kontrolle zum Scheitern verurteilt – doch Schlimmeres droht
- Fake-Podcast-Einladungen: Cyberkriminelle locken Influencer und hochkarätige Unternehmensmitarbeiter in die Falle
- Mit Agentischer KI als Schlüsseltechnologie werden neue Sicherheits- und Infrastrukturkonzepte unverzichtbar
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren