PayPal: Hackerangriff mit verheerenden Folgen – Tausende Kunden betroffen
PayPal hat Berichten der US-Staatsanwaltschaft zufolge eine Datenpanne gemeldet. Von dem Datenleck sollen tausende Nutzer betroffen sein. PayPal nimmt aktuell mit Betroffenen Kontakt auf.
Frankfurt – Es gibt Post, auf die möchte man verzichten. Dazu gehört sicher die Benachrichtigung eines Bezahldienstleisters, dass Hacker die persönlichen Daten gestohlen haben. Genau so eine Nachricht erreicht momentan Tausende PayPal Nutzerinnen und Nutzer.
Wie die Deutsche Presse-Agentur berichtet, entdeckte die Zahlungsplattform PayPal einen Hackerangriff und meldete diesen der US-Staatsanwaltschaft. Knapp 35.000 Kundinnen und Kunden sollen von dem Datenleck betroffen sein.
PayPal: Hacker erbeuten Daten
Cyberkriminelle konnten sich laut Aussagen von PayPal Zugriff auf Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten verschaffen. Aktuell informiert das Unternehmen die betroffenen Kundinnen und Kunden und hat deren Passwörter zurückgesetzt. Auch wenn das Unternehmen beteuert, dass es bisher zu keinem Missbrauch der Daten gekommen sei, ist bei den Kundinnen und Kunden ein Schaden entstanden.
Denn sind Daten einmal im Internet veröffentlicht, kann es jederzeit zu einem Missbrauch kommen. Wer Bezahldienste nutzt, hantiert automatisch mit seinen Daten im Netz. Immerhin nutzen knapp zwei Drittel der Deutschen Finanz-Apps wie PayPal oder Klarna.
Datenleck bei PayPal: Was ist im Detail bekannt?
Laut übereinstimmenden Medienberichten soll PayPal den Hackerangriff am 20. Dezember 2022 entdeckt haben. Bei der zeitnahen Untersuchung stellte sich heraus, dass der Hackerangriff bereits zwischen dem 6. und 8. Dezember stattgefunden habe. Zahlungsdienstleister PayPal hat daraufhin bei der Generalstaatsanwaltschaft Maine das unbefugte Abfließen von persönlich identifizierbaren Informationen (PII) gemeldet – also ein Datenleck, wie merkur.de berichtet.
Angreifer hätten bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet und hatten in knapp 35.000 Fällen Erfolg.
Zum Hintergrund: Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Zuvor geleakte oder illegal erlangte Anmeldedaten werden genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Wie es in der Anzeige von PayPal heißt, hätten die Kriminellen Zugriff auf die Namen der Kunden, deren Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern sowie Geburtsdaten erlangt. An die Betroffenen ging inzwischen eine Benachrichtigung. PayPal hat nach eigenen Angaben bisher keine Informationen, dass es zum Missbrauch der Daten oder zu unberechtigten Transaktionen gekommen ist.
Juristen informieren, welche Folgen das Datenleck bei PayPal haben kann
Auf den ersten Blick sei für Kunden von PayPal noch nicht viel passiert, schreibt Rechtsanwaltsgesellschaft Dr. Stoll & Sauer. Doch die nächste Spam- und Phishing-Welle rolle auf Verbraucherinnen und Verbraucher zu. Die Gefahr sei groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es zum großen Datenklau bei Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass die Kriminellen personenbezogene Daten miteinander verknüpfen. Schlimmstenfalls könnten sie letztendlich die Identität von Verbraucherinnen oder Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen.
Sind meine Daten gehackt? Was kann verunsicherte PayPal Kundschaft unternehmen?
Das Ausnutzen eines Datenlecks ist gleichzeitig ein Kontrollverlust über die eigenen, teils sensible, Daten. Sind die Daten gehackt, sind sie für Kriminelle immer nutzbar. Die Gefahr liegt in der Zukunft. Wer unsicher ist, ob seine Daten gehackt wurden, kann sich an PayPal wenden. Nutzer des Zahlungsdienstes haben ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der Europäischen Datenschutzgrundverordnung (DSGVO) innerhalb von vier Wochen Auskunft erteilen. (ib/dpa)