Volgens diverse cybersecuritymedia, waaronder Hackread en Cybernews, circuleert er op het dark web een enorme databank met inloggegevens van miljoenen PayPal-accounts. De zogenoemde ‘Global PayPal Credential Dump 2025’ zou bestaan uit e-mailadressen en bijbehorende wachtwoorden in platte tekst van maar liefst 15,8 miljoen accounts. De databundel weegt in totaal 1,1 GB en wordt aangeboden voor 750 dollar.
De verkoper beweert bovendien dat hij toegang heeft tot specifieke eindpunten die misbruikt kunnen worden om inlogpogingen te automatiseren en andere PayPal-diensten te manipuleren. Dat maakt de mogelijke gevolgen extra zorgwekkend, aangezien PayPal wereldwijd miljoenen financiële transacties beheert.
PayPal-accounts
PayPal zelf bagatelliseert de kwestie en stelt in een reactie aan Cybernews dat het gaat om gegevens uit een eerdere hackpoging in 2022. In dat jaar werd het platform getroffen door een zogenaamde credential-stuffing-aanval, waarbij cybercriminelen eerder buitgemaakte inloggegevens probeerden om toegang te krijgen tot PayPal-accounts. Begin 2025 legde PayPal hiervoor nog een boete van twee miljoen dollar op, omdat toezichthouders oordeelden dat de beveiligingsmaatregelen onvoldoende waren om persoonlijke gegevens zoals telefoonnummers, adressen en sofinummers te beschermen.
Infostealer-malware
De huidige verkoper ontkent echter dat de data van 2022 afkomstig is. Hij stelt dat de gegevens voortkomen uit een incident in mei 2025. Opvallend is dat PayPal in die periode geen nieuwe beveiligingslekken naar buiten heeft gebracht. Experts vermoeden daarom dat de inloggegevens mogelijk zijn buitgemaakt met behulp van zogeheten infostealer-malware, die wachtwoorden van geïnfecteerde computers kan stelen.
Of de dataset daadwerkelijk authentiek is, valt lastig vast te stellen zonder volledige toegang. Toch is het incident een belangrijke waarschuwing voor gebruikers. Deskundigen adviseren dringend om regelmatig wachtwoorden te vernieuwen, sterke combinaties te gebruiken en altijd multi-factor authenticatie (MFA) in te schakelen. Daarmee wordt de kans aanzienlijk verkleind dat een account in verkeerde handen valt, zelfs als de inloggegevens op het dark web belanden.