Riesiges Datenleck
Offenbar tausende PayPal-Konten gehackt: Drohen verheerende Folgen?
Redakteur
Kriminelle Hacker konnten sich nach Aussagen von PayPal Zugriff auf Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten verschaffen.
Medienberichten zufolge entdeckte PayPal den Hackerangriff am 20. Dezember 2022. Bei der eingeleiteten Untersuchung stellte sich heraus, dass der Angriff bereits zwischen dem 6. und 8. Dezember stattgefunden hat. PayPal hat daraufhin bei der Generalstaatsanwaltschaft Maine das unbefugte Abfließen von persönlich identifizierbaren Informationen (PII) gemeldet, also ein Datenleck.
Angreifer hätten bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet - und hatten in knapp 35.000 Fällen Erfolg. Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden.
Die Kriminellen haben laut Anzeige von PayPal Zugriff auf die Namen der Kunden, deren Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern sowie Geburtsdaten erlangt. PayPal hat an betroffene Kunden inzwischen eine Benachrichtigung geschickt, die sie über das Datenleck informieren soll. Der Zahlungsanbieter hat bisher keine Informationen darüber, dass es zum Missbrauch der Daten und zu unberechtigten Transaktionen gekommen ist. Nach dem Log-in ist es in der Regel ein Leichtes, zumindest kleinere Summen via PayPal zu verschicken.
PayPal gibt an, die Passwörter erfolgreich angegriffener Konten zurückgesetzt und erweiterte Sicherheitsprüfungen implementiert zu haben. Selbstverständlich haben Nutzer ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) Auskunft erteilen - und das innerhalb eines Monats.