15,8 Mio. PayPal-Passwörter veröffentlicht?

Was hinter dem angeblichen „ca. 16 Millionen“-Leak steckt – und wie Sie in 5 Minuten prüfen, ob Sie betroffen sind

Kurzfassung: In Untergrundforen (Darknet) wird aktuell ein Datensatz mit rund 15,8 Millionen angeblichen PayPal-Logins (E-Mail + Klartextpasswort) angeboten. PayPal bestreitet einen neuen Hack und verweist auf ältere Vorfälle sowie auf extern abgeflossene Zugangsdaten. Wahrscheinliche Quelle: sogenannte Infostealer-Malware, die Passwörter aus Browsern und Passwortspeichern ausliest. Für Nutzer heißt das: sofort Passwörter ändern, Einmalpasswörter / Passkeys aktivieren, Geräte auf Malware prüfen und über Dienste wie Have I Been Pwned oder Googles Dark-Web-Report nach Treffern suchen.

Was ist passiert?

Mehrere Sicherheitsportale berichten über ein Angebot in einem Leak-Forum: Ein Akteur verkauft rund 15,8 Millionen Kombinationen aus E-Mail-Adresse und Passwort, die zu PayPal-Anmeldungen gehören sollen. Die Echtheit des Gesamtpakets ist nicht unabhängig verifiziert; auffällig sind u. a. ein niedriger Preis und nur kleine Datenproben. PayPal weist die Darstellung eines neuen Systemhacks zurück und spricht von extern stammenden Zugangsdaten bzw. Bezügen zu einem älteren Vorfall.

Woher stammen die Zugangsdaten wahrscheinlich?

Nicht jedes „PayPal-Leak“ bedeutet, dass PayPal selbst kompromittiert wurde. Häufig greifen Kriminelle zu Infostealern: Malware, die auf infizierten Geräten Browser-Passwörter, Cookies und Auto-Fill-Daten ausliest und als Stealer Logs im Untergrund sammeln und weiterleiten. Aus solchen Logs entstehen riesige Credential-Sammlungen, die für Credential-Stuffing (automatisierte Login-Versuche auf vielen Diensten) genutzt werden. Das erklärt auch, warum Datensätze oft E-Mail, Passwort und die Website-URL enthalten – und warum sie dienstübergreifend funktionieren, wenn Nutzer Passwörter wiederverwenden.

Bin ich betroffen? So prüfen Sie es in 5 Minuten

1. Have I Been Pwned (HIBP) prüfen: Suchen Sie Ihre E-Mail-Adresse auf HIBP. Taucht sie in Leaks auf, ändern Sie zugehörige Passwörter sofort – vor allem, wenn Sie diese wiederverwendet haben.
   https://haveibeenpwned.com
   
2. Browser-Passwortcheck ausführen:
   • Google Password Manager: Öffnen Sie passwords.google.com → „Passwort-Check“.
   • Apple (iOS/macOS): Einstellungen → Passwörter → „Sicherheitsempfehlungen“.
   • Mozilla Monitor: Kostenloser Scan und Benachrichtigungen bei neuen Treffern.
     
3. Dark-Web-Report von Google aktivieren: Für Privatkonten kostenlos. Legen Sie ein Monitoring-Profil an und lassen Sie sich bei neuen Treffern benachrichtigen.
   https://myactivity.google.com/dark-web-report/dashboard
   
4. PayPal-Konto prüfen: Kontrollieren Sie „Aktivitäten“, offene Abbuchungsvereinbarungen/Abos und Sicherheitsereignisse. Melden Sie Unstimmigkeiten sofort im Konfliktlösungs Center
   
5. Geräte auf Malware scannen: Führen Sie einen aktuellen Virenscan durch und deinstallieren Sie dubiose Tools/Browser-Erweiterungen. Aktualisieren Sie Browser, OS und Sicherheitssoftware.

PayPal: Unbefugte Zahlungen melden – so geht’s

Am Computer (Web)

1. Einloggen bei PayPal.
2. In der Hilfe oder per Direktaufruf zu „Konfliktlösungen“ gehen (das ist das deutsche „Resolution Center“).
3. „Problem melden“ klicken.
4. Die betroffene Zahlung auswählen und „Weiter“ klicken.
5. Als Grund „Ich möchte einen unbefugten Kontozugriff melden“ wählen und den Anweisungen folgen (Angaben bestätigen, ggf. Nachweise/Details angeben).
6. Den Status des Falls später jederzeit unter „Konfliktlösungen“ einsehen.

In der PayPal App (Android und iOS)

1. App öffnen und „Aktivitäten“ antippen.
2. Die betroffene Zahlung öffnen.
3. „Problem melden“ antippen, Grund auswählen und den Schritten in der App folgen.

Sofortmaßnahmen für mehr Kontoschutz

• Einzigartiges, starkes PayPal-Passwort setzen und nie wiederverwenden. Nutzen Sie einen Passwortmanager.
• 2-Faktor-Authentifizierung (2FA) aktivieren – bevorzugt per App-Code statt SMS.
• Passkeys bei PayPal einschalten: Passkeys ersetzen Passwörter durch eine sichere, phishing-resistente Anmeldung via Gerät/biometrischer Bestätigung. Verfügbar auf iOS, Android, Windows und macOS (unterstützte Versionen beachten).
• Aktive Logins und verknüpfte Geräte prüfen, verdächtige Sitzungen beenden.
• Finanzübersichten im Blick behalten (PayPal, Bank, Karten). Unbekannte Abbuchungen sofort reklamieren.

Warum Passkeys jetzt die beste Wahl sind

Passkeys binden die Anmeldung kryptografisch an Ihr Gerät und die echte PayPal-Domain – Phishing und Credential-Stuffing laufen ins Leere. Wenn ein Passwort-Leak im Web kursiert, betrifft Sie das mit Passkeys nicht, weil kein Passwort existiert. Für maximale Sicherheit Passkeys plus Bildschirmsperre/biometrische Sperre nutzen.

Hintergrund: 2022er Vorfall und die Rolle von Stealer-Logs

Bereits 2022 gab es bei PayPal einen Vorfall durch Credential-Stuffing, bei dem Angaben tausender Konten betroffen waren; 2025 verhängte der New-York-Regulator dafür eine Strafe. Der aktuelle „16-Millionen“-Datensatz passt ins Muster massiver Stealer-Log-Sammlungen, die 2024/2025 branchenweit explodiert sind. Für Endnutzer ist entscheidend: Schützen Sie Ihre Geräte und verwenden Sie einzigartige Passwörter bzw. Passkeys.

Checkliste

• PayPal-Passwort geändert
• 2FA/App-Codes an
• Passkey eingerichtet
• HIBP geprüft
• Google Dark-Web-Report aktiv
• Browser-Passwortcheck erledigt
• Virenscan/Updates durchgeführt
• PayPal-Aktivitäten und Abbuchungen geprüft

Letzte Aktualisierung am 16.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Quellen (Auswahl)

• Cybernews: Hackers claim fresh PayPal data dump of 16M records
• Tom’s Guide: Nearly 16M PayPal credentials alleged leak
• Bitdefender: 15.8M plain-text PayPal credentials for sale
• heise Security (EN): Alleged PayPal access data – source not PayPal
• Have I Been Pwned – Who’s Been Pwned (Übersicht)
• HIBP: Stealer Logs Jan 2025 (71 M E-Mails + Websites)
• Google Support: Passwort-Check (Google Password Manager)
• Apple Support: Schwache/kompromittierte Passwörter (iPhone)
• Mozilla Monitor: Datenpannen-Monitoring
• Google Support: Dark-Web-Report – So funktioniert’s
• The Verge: Dark-Web-Monitoring wird kostenlos
• PayPal Hilfe: Unbefugte Transaktionen melden (Resolution Center)
• PayPal Hilfe: Was ist ein Passkey und wie nutze ich ihn?
• PayPal Money Hub: Wie Passkeys funktionieren
• strongDM: PayPal Data Breach (Hintergrund 2022)
• The Record: PayPal zahlt Strafe nach 2022-Vorfall
• WIRED: How Infostealers Pillaged the World’s Passwords
• Australian Cyber Security Centre: Advisory zu Infostealern (PDF)

About the Author

Sebastian Schiebort

Administrator

Author's posts