Die Zahlungsplattform PayPal hat der US-Staatsanwaltschaft eine Datenpanne gemeldet. Es sind knapp 35.000 Kunden von dem Datenleck betroffen. Kriminelle Hacker konnten sich nach Aussagen von PayPal Zugriff auf Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten verschaffen.
PayPal informiert aktuell die betroffenen Kunden und hat deren Passwörter zurückgesetzt.
Nach Medienberichten entdeckte PayPal den Hackerangriff am 20. Dezember 2022. Der Angriff soll bereits zwischen dem 6. und 8. Dezember stattgefunden haben.
Angreifer hätten bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden.
PayPal hat bisher keine Informationen darüber, dass es zum Missbrauch der Daten und zu unberechtigten Transaktionen gekommen ist.