Einige PayPal-Nutzer haben E-Mails vom Unternehmen erhalten, in denen eine Datenpanne bestätigt wird, durch die persönliche Daten einem Angreifer zugänglich gemacht wurden, der sich Zugang zu den Systemen von PayPal verschafft hatte. Dies führte dazu, dass einige Nutzer unbefugte Transaktionen auf ihren Konten feststellten und ihre Passwörter zurücksetzen mussten. Hier finden Sie alles, was Sie wissen müssen.
Datenpanne legte einige PayPal-Kundendaten sechs Monate lang offen
Ein Benachrichtigungsschreiben über die Datenpanne, das ich selbst überprüft habe, bestätigt, dass einige PayPal-Nutzer von einer Datenpanne betroffen waren, nachdem sich ein Hacker am 1. Juli 2025 Zugang zu den PayPal-Systemen verschafft hatte. Der Hacker hatte offenbar bis zum 12. Dezember 2025 Zugriff, als PayPal den Sicherheitsvorfall entdeckte. Der Verstoß hatte laut den Benachrichtigungen vom 10. Februar Auswirkungen auf einige Nutzer „aufgrund eines Fehlers in ihrem PayPal Working Capital („PPWC”)-Kreditantrag”.
Es bleibt natürlich abzuwarten, wie sich der Zugriff des Angreifers entwickelt hat, da dies noch eine sich entwickelnde Geschichte ist und PayPal dies noch nicht über eine „Codeänderung” hinaus näher erläutert hat. Nach der Veröffentlichung dieses Artikels gab ein PayPal-Sprecher jedoch folgende Erklärung ab: „Wenn eine potenzielle Gefährdung von Kundendaten besteht, ist PayPal verpflichtet, die betroffenen Kunden zu benachrichtigen. In diesem Fall wurden die Systeme von PayPal nicht kompromittiert. Daher haben wir die etwa 100 Kunden, die möglicherweise betroffen waren, kontaktiert, um sie über diese Angelegenheit zu informieren.”
Ich warte derzeit auf eine Klarstellung hinsichtlich der scheinbaren Diskrepanz zwischen der Aussage, dass „die Systeme von PayPal nicht kompromittiert wurden”, und der Mitteilung, dass das Unternehmen nach einer Untersuchung „den unbefugten Zugriff auf die Systeme von PayPal beendet” habe. Ich werde ein weiteres Update hinzufügen, sobald eine solche Klarstellung vorliegt.
„Nachdem wir von dieser unbefugten Aktivität erfahren hatten, haben wir umgehend eine Untersuchung eingeleitet und Maßnahmen ergriffen, um diesen Vorfall zu beheben, darunter auch Schritte, um zu verhindern, dass unbefugte Akteure weitere personenbezogene Daten abrufen können“, heißt es in der Mitteilung von PayPal. Es wäre jedoch interessant zu erfahren, warum es ganze sechs Monate gedauert hat, bis das Sicherheitsteam von PayPal die Gefährdung durch unbefugte Personen bemerkt hat, wie in der Mitteilung über die Sicherheitsverletzung selbst erwähnt. Das ist ein riesiges Zeitfenster für Angreifer, und wir sollten dankbar sein, dass so wenige Konten potenziell betroffen waren, bevor es endgültig geschlossen wurde.
Auf welche Informationen hat der PayPal-Hacker zugegriffen?
Was wir zum jetzigen Zeitpunkt jedoch wissen, ist, dass möglicherweise auf die folgenden Informationen zugegriffen wurde:
Name
E-Mail-Adresse
Telefonnummer
Geschäftsadresse
Sozialversicherungsnummer
Geburtsdatum
PayPal hat außerdem bestätigt, dass „einige wenige Kunden unbefugte Transaktionen auf ihrem Konto festgestellt haben”, und wir wissen nun, dass es sich dabei um eine sehr geringe Anzahl handelt, laut einem Sprecher um die 100 Nutzer. PayPal hat bestätigt, dass es den betroffenen Kunden bereits Rückerstattungen gewährt hat.
Es ist zwar gut, dass nur relativ wenige PayPal-Nutzer von diesem Vorfall betroffen waren, aber angesichts der Art der Informationen, auf die möglicherweise zugegriffen wurde, bin ich sehr besorgt darüber, dass Angreifer diese Informationen nutzen könnten, um weitere, nicht speziell mit PayPal in Verbindung stehende Bedrohungen auszunutzen. Kleine Unternehmen können besonders anfällig für Phishing-Bedrohungen sein, insbesondere solche, die sorgfältig und gezielt unter Verwendung solcher Informationen auf sie ausgerichtet sind. Daher würde ich allen Lesern raten, die PayPal-Sicherheitsempfehlungen am Ende dieses Artikels zu beachten, unabhängig davon, ob sie von diesem Vorfall betroffen sind oder nicht. Es kostet Sie nur ein oder zwei Minuten Ihrer Zeit, könnte aber eine der besten Investitionen sein, die Ihr Unternehmen jemals getätigt hat.
Dies ist nicht die erste Sicherheitswarnung von PayPal
Es wurde bereits über viele frühere Sicherheitswarnungen von PayPal berichtet, die sich meist auf Phishing-Angriffe per E-Mail, SMS oder Telefon bezogen. Wenn man jedoch bis ins Jahr 2023 zurückblickt, gab es einen weiteren Sicherheitsverstoß. Es wurde damals darüber berichtet und bestätigt, dass insgesamt 34.942 PayPal-Konten durch Angriffe mit einer Credential-Stuffing-Methode gehackt worden waren. Bei solchen Angriffen setzen die Angreifer einen automatisierten Prozess ein, um mit Login-Daten auf Konten zuzugreifen, die auf irgendeine Weise kompromittiert wurden, häufig Daten, die für mehrere Konten wiederverwendet und anschließend bei einem dieser Konten gestohlen wurden. Listen mit solchen gestohlenen Zugangsdaten sind im Dark Web leicht verfügbar.
Im Dezember 2025 wurde bereits darüber berichtet, wie Angreifer legitime Infrastrukturen nutzten, um E-Mail-Authentifizierungsschutzmaßnahmen zu umgehen, wenn sie bösartige Nachrichten versendeten, die als echte PayPal-Support-Mitteilungen getarnt waren. In diesem Fall wurde die Funktion für Zahlungsabonnements von PayPal von Hackern missbraucht, um die Anmeldedaten Ihrer Benutzerkonten zu stehlen. Damals erklärte ein Sprecher von PayPal: „PayPal toleriert keine betrügerischen Aktivitäten und wir arbeiten hart daran, unsere Kunden vor sich ständig weiterentwickelnden Phishing-Betrügereien zu schützen. Wir bemühen uns aktiv um die Eindämmung dieses Problems und ermutigen die Menschen, online stets wachsam zu sein und auf unerwartete Nachrichten zu achten. Wenn Kunden den Verdacht haben, Opfer eines Betrugs geworden zu sein, empfehlen wir ihnen, sich direkt über die PayPal-App oder unsere Kontaktseite an den Kundensupport zu wenden, um Hilfe zu erhalten.“
Nur wenige Wochen zuvor wurde darüber berichtet, wie eine echte PayPal-E-Mail-Adresse verwendet wurde, um eine Rechnung zu versenden, was als „Do not pay, do not phone”-Angriff bekannt wurde. Die gefälschte Rechnung bezog sich auf einen größeren Kauf, den der Nutzer gar nicht getätigt hatte; dies war der Köder. Der Haken war eine gefälschte PayPal-Telefonnummer, die man anrufen sollte, um die Zahlung zu stoppen, während eine Streitigkeit untersucht wurde. Dies war ein sogenannter TOAD-Angriff: Ein telefonbasierter Angriff mit scheinbar offiziellen Dokumenten, Dringlichkeit und einer vom Angreifer kontrollierten Telefonnummer. PayPal hat nicht tatenlos zugesehen und tut dies auch heute nicht. Das Unternehmen hat mir erklärt, dass es auf die sich ständig weiterentwickelnden Betrugsmethoden reagiert und Maßnahmen wie eine Kombination aus manuellen Untersuchungen und Technologien zur Betrugsbekämpfung ergreift, darunter proaktive Maßnahmen wie die Sperrung von Betrugskonten oder die Ablehnung riskanter Transaktionen.
PayPal hat den Zugriff des Angreifers gesperrt und die Passwörter der Konten zurückgesetzt.
PayPal hat erklärt, dass es den Zugriff des Angreifers auf seine Systeme bereits gesperrt hat und dass die Passwörter der betroffenen Nutzer (die inzwischen eine Benachrichtigungs-E-Mail erhalten haben sollten) zurückgesetzt wurden. Das bedeutet, dass Sie möglicherweise ein neues Passwort festlegen müssen, wenn Sie sich das nächste Mal anmelden möchten.
„Wir bieten Ihnen zwei Jahre lang kostenlose Kreditüberwachungs- und Identitätswiederherstellungsdienste über Equifax an“, fügte PayPal hinzu, was für die Betroffenen wohl nur ein schwacher Trost sein dürfte.
Sicherheitsempfehlungen von PayPal
Die Benachrichtigung über die Sicherheitsverletzung enthielt auch Empfehlungen für die Betroffenen in Form von allgemeinen Sicherheitsempfehlungen. Diese sind eine zeitgemäße Erinnerung für alle PayPal-Nutzer, nicht nur für die 100 Betroffenen der PayPal Working Capital-Sicherheitsverletzung, wie sie ihre Konten und das Internet im Allgemeinen so sicher wie möglich nutzen können.
Verwenden Sie für jede Website und jeden Dienst eine einzigartige Kombination aus Benutzername und Passwort.
Ich stimme zu, dass Benutzernamen oft übersehen werden und wir alle dazu neigen, für alles dieselbe E-Mail-Adresse zu verwenden, aber eindeutige Benutzernamen bieten einen zusätzlichen Schutz vor Credential-Stuffing-Angriffen. Eindeutige und komplexe Passwörter sind selbstverständlich, und Sie können einen Passwort-Hacking-Test durchführen, um zu sehen, wie gut Ihre Passwörter sind.
Ändern Sie Ihr Passwort und alle damit verbundenen Sicherheitsfragen, wenn Sie verdächtige Aktivitäten auf Ihrem Konto feststellen.
Auch dies ist ein guter Ratschlag, dessen Umsetzung nur wenige Sekunden dauert, Ihnen aber stundenlangen Ärger ersparen kann, wenn Ihr Konto gehackt wird.
Wenn eine E-Mail Links enthält, sollten Sie mit der Maus über die Links fahren, um die tatsächliche Ziel-URL anzuzeigen, und nicht auf den Link klicken, wenn Sie sich über die Ziel-URL oder Website nicht sicher sind.
Dies ist im Allgemeinen ein guter Rat, obwohl es dennoch Möglichkeiten gibt, wie Angreifer die tatsächlichen Ziele verschleiern können. Meiner nicht ganz so bescheidenen Meinung nach wäre es besser, nicht auf Links in E-Mails oder Textnachrichten zu klicken und Websites immer über Ihren Browser und eine bekannte URL aufzurufen.
Achten Sie auf Nachrichten, die Dringlichkeit suggerieren und sofortiges Handeln erfordern. Wenn Sie sich unsicher sind oder die Echtheit dringender Nachrichten überprüfen möchten, sollten Sie PayPal besuchen und sich in Ihr Konto einloggen, um die Nachrichten anzuzeigen.
100 % richtig. Sie sollten solche Behauptungen immer überprüfen, indem Sie Ihr Konto über Ihren Browser und vertrauenswürdige Links aufrufen, um festzustellen, ob die Behauptungen der Wahrheit entsprechen. Befolgen Sie immer nur die angegebenen Support-Methoden der Website selbst.
PayPal wird Sie niemals auffordern, den Benutzernamen und das Passwort Ihres PayPal-Kontos oder andere Authentifizierungsfaktoren, wie z. B. einen Einmalcode, per Telefon, SMS oder E-Mail anzugeben.
Keine Panik, befolgen Sie die oben genannten Ratschläge und geben Sie Ihre Daten nicht am Telefon oder in einer E-Mail weiter. Das ist gesunder Menschenverstand, also befolgen Sie diese Ratschläge, egal ob es um PayPal oder ein anderes Online-Konto geht.
Ich möchte noch eine wichtige Empfehlung hinzufügen, die in der Liste fehlt: Verwenden Sie einen Passkey, wann immer diese Option verfügbar ist.
Obwohl diese Datenpanne offenbar nicht viele Nutzer betroffen hat, hat PayPal erklärt, dass Kunden wachsam bleiben und ihre Kontoinformationen und Transaktionshistorien überprüfen sollten.
