PayPal „15,8 Millionen Fälle“ des Datenlecks: Warnungen verbreiten sich auf X, Verbraucherorganisationen geben ebenfalls Warnhinweise - Sollten Sie Ihr PayPal-Passwort jetzt sofort ändern?

Die deutsche Nachrichtenwebsite RUHR24 berichtete über eine Warnung, dass Sets von E-Mail-Adressen und Passwörtern, die etwa "15,8 Millionen" PayPal-Konten entsprechen, zum Verkauf angeboten werden. Der Verkäufer ist ein Hacker, der sich "Chucky_BF" nennt. Die Daten sollen ein 1,1 GB großer Text vom "6. Mai" sein, dessen Echtheit jedoch unbestätigt ist. Nutzer sollten sofort ihre Passwörter ändern und verdächtige Aktivitäten überwachen. Der Artikel stellt auch grundlegende Maßnahmen von Verbraucherorganisationen vor.ruhr24.de

Was passiert ist—Zahlen und Behauptungen

Mehrere Sicherheitsmedien berichteten, dass "15,8 Millionen PayPal-Logins (E-Mail + Klartext-Passwort + zugehörige URL)" für "750 Dollar" in einem Hacking-Forum verkauft werden. Die Informationen wurden in Berichten von Hackread und Bitdefender bestätigt, wobei die Quelle wahrscheinlich nicht ein direkter Verstoß bei PayPal ist, sondern eher eine "Sammlung von Logs aus Infostealer-Malware".hackread.comBitdefender

PayPal hingegen dementiert einen "neuen Verstoß". Einige Berichte zitieren die Erklärung des Unternehmens, dass es sich um "einen Vorfall aus der Vergangenheit (2022) handelt". Auch wenn die Echtheit unbestätigt ist, bleibt das Risiko, dass wiederverwendete Passwörter missbraucht werden, real.Tom's GuideTechRadarCybernews

Reaktionen in sozialen Medien—Warnungen, Skepsis und praktische Ratschläge

Auf X (ehemals Twitter) warnte der Cyber-Intelligence-Account Hackmanac frühzeitig vor dem "Verkauf von 15,8 Millionen Klartext-Zugangsdaten durch Chucky_BF". Ein Beitrag, der Nutzer zur Passwortänderung und Aktivierung der Zwei-Faktor-Authentifizierung (2FA) aufforderte, verbreitete sich schnell. Der Bedrohungsinformationsaggregator ThreatMon teilte ebenfalls die Ankündigung des angeblichen 1,1 GB Dumps und warnte die Öffentlichkeit.X (formerly Twitter)

Unter Forschern und Medien verbreitete sich die Skepsis, dass "der Preis zu niedrig ist = die Qualität ist gering" und es sich um "eine Sammlung alter/wiederverwendeter Daten" handeln könnte. Deutsche Tech-Medien berichteten, dass "die Quelle wahrscheinlich nicht PayPal selbst ist". Viele Stimmen raten den Nutzern, "ruhig zu bleiben, aber proaktiv zu handeln".heise online

Verbraucherzentren und ähnliche Accounts und Websites warnen vor einem Anstieg von "PayPal-Phishing" zur gleichen Zeit. Es wird berichtet, dass gefälschte Benachrichtigungen wie "Betreff: Kontobeschränkung" verwendet werden, um Nutzer zu gefälschten Logins zu führen. Es wird empfohlen, Einstellungen direkt über die offizielle App/Website zu ändern.Verbraucherzentrale.de

Was der Preis von "750 Dollar" aussagt

Ein ungewöhnlich niedriger Preis für eine riesige Datenmenge—dies deutet oft darauf hin, dass es sich nicht um neue, hochwertige Daten handelt, sondern um eine Sammlung von "Logs", die durch Phishing oder Malware gestohlen wurden. Infostealer entwenden gespeicherte Passwörter, Cookies und Autofill-Informationen aus Browsern, was dazu führen kann, dass Klartextpasswörter enthalten sind. Dies führt oft zu einer Mischung aus alten/wiederverwendeten Daten und Duplikaten, die Käufer für "Credential Stuffing" in großen Mengen verwenden. Die Berichterstattung erwähnt im Allgemeinen dieses Szenario.Tom's GuideTechRadar

Das tatsächliche Risiko—Credential Stuffing

Angreifer verwenden die gekauften Zugangsdatenlisten, um sich mit Bots bei E-Commerce, Abonnements, E-Mails, Kryptowährungsbörsen und anderen Diensten anzumelden. Je höher die Wiederverwendungsrate von Passwörtern, desto höher die Erfolgsquote. Konten ohne Zwei-Faktor-Authentifizierung sind anfällig für Übernahmen und unbefugte Überweisungen. Der Artikel von RUHR24 warnt vor solchen Methoden.ruhr24.de

Praktische Maßnahmen, die Sie jetzt ergreifen können (mit Überprüfungslinks)

1. Sofortige Änderung des PayPal-Passworts: Wählen Sie ein langes, einzigartiges und schwer zu erratendes Passwort. Vermeiden Sie die Wiederverwendung alter Passwörter.Verbraucherzentrale.de

2. Aktivierung der Zwei-Faktor-Authentifizierung (2FA/MFA): Verwenden Sie bevorzugt Apps/physische Schlüssel statt SMS.Verbraucherzentrale.de

3. Überprüfung verdächtiger Logins und Zahlungen: Überprüfen Sie Ihre Historie und Benachrichtigungseinstellungen.Verbraucherzentrale.de

4. "Keine Änderungen über externe Links vornehmen": Verwenden Sie nicht die URLs in E-Mails oder SMS, sondern die offizielle App/Lesezeichen.Verbraucherzentrale.de

5. Selbstprüfung mit Leck-Überprüfungstools:
   ・Überprüfen Sie Ihre E-Mail-Adresse mit Have I Been Pwned (HIBP).Have I Been Pwned
   ・Experte.de bietet eine Überprüfung mit japanischer Anleitung.Experte
   ・Leak Checker der Universität Bonn (Ergebnisse werden per E-Mail benachrichtigt).Leak Checker
   ※Ein offizielles Anfragetool für die "verdächtigen PayPal-Daten" ist derzeit nicht verfügbar. Auch wenn die Überprüfung "sicher" anzeigt, ändern Sieunbedingt, wenn Sie Passwörter wiederverwenden.

6. Überprüfung aller Dienste: Beseitigen Sie Passwortwiederverwendung mit einem Passwortmanager und wechseln Sie, wenn möglich, zuPasskeys.

7. Vorsicht vor neuen Phishing-Methoden, die "Kontosperrungen vortäuschen": Kürzlich wurden gefälschte Warnungen im Namen von PayPal beobachtet.Verbraucherzentrale.de

Chronologische Übersicht (Japanische Zeit/Asia/Tokyo)

• Um den 18. August 2025: Sicherheitsmedien und Forscher berichten und teilen die "Ankündigung des Verkaufs von 15,8 Millionen".hackread.comBitdefenderX (formerly Twitter)

• Zur gleichen Zeit: Es wird berichtet, dass PayPal kommentiert hat, dass es "keinen neuen Verstoß" gibt.Tom's GuideTechRadarCybernews

• 21.–24. August: Allgemeine Medien und Regionalzeitungen verbreiten Warnungen. RUHR24 veröffentlicht einen aktualisierten Artikel.ruhr24.de

Nachwort—"Unbestätigt", aber Vorsicht ist geboten

Selbst wenn die Daten eine alte Sammlung sind,bleibt die Realität, dass "Passwortwiederverwendung"ein Einfallstor für Angriffe ist. Phishing nimmt zu, wenn sich solche Nachrichten verbreiten.Um mit minimalen Kosten maximale Sicherheit zu erreichen, sollten Sie jetzt "1. starke, 'einzigartige' Passwörter für alle Konten erstellen", "2. 2FA konsequent nutzen" und "3. keine verdächtigen Links anklicken". Wenn Sie diese drei Punkte beachten, wird Ihr Konto auch bei einem solchen "großen Aufruhr" schwerer angreifbar sein.