Darknet-Angebot: Hacker wirbt mit 15,8 Millionen PayPal-Zugangsdaten

Ein Hacker, der unter dem Namen „Chucky_BF“ aktiv ist, bietet im Darknet ein 1,1 Gigabyte großes Datenpaket mit angeblich 15,8 Millionen PayPal-Zugangsdaten an. Wie die Onlinepublikation „HackRead“ berichtet, verlangt der Anbieter 750 Dollar.

Daten mithilfe von Malware erbeutet?

Dem Bericht zufolge soll der Datensatz aus E-Mail-Adressen, Passwörtern im Klartext und Internetadressen (URLs) bestehen, die direkt mit PayPal-Konten verknüpft sind. „HackRead“ vermutet allerdings, dass die Daten nicht direkt von PayPal stammen, sondern durch sogenannte Infostealer-Malware von infizierten Geräten abgegriffen wurden. Dabei handelt es sich um eine Schadsoftware, die darauf spezialisiert ist, vertrauliche Informationen abzugreifen – und das oft vollkommen unbemerkt.

Dazu gehören Logindaten von E-Mail-Konten, Onlinebanking, sozialen Netzwerken und Cloud-Diensten. Daten von Kreditkarten, Cookies, gespeicherte Passwörter, Verläufe, Bilder, Systeminformationen und PayPal-Zugänge sammelt das Programm ebenfalls. Die Daten werden dann meist verschlüsselt verpackt und im Darknet verkauft. Auch bei weiteren Angriffen wie Identitätsdiebstahl oder Kontoübernahmen finden sie Verwendung.

[etd-related posts=“5149166″]

„HackRead“ weist auch darauf hin, dass PayPal bislang noch nie Opfer eines Cyberangriffs in diesem Ausmaß geworden sei. Einige Daten sollen echt sein, andere aus Test- oder Fake-Accounts bestehen. Dies sei eine „typische Mischung“ bei Leaks dieser Art. Der Verkäufer behauptet, dass die meisten Passwörter sicher und einzigartig seien.

Er schreibe aber auch, dass viele wiederverwendet würden. Das heiße, dass die Personen, die dasselbe Passwort auf anderen Websites verwenden, auch außerhalb von PayPal gefährdet sein könnten. Stimmte das, was „Chucky_BF“ angebe, würde es sich um eines der größten Datenlecks der vergangenen Jahre im Zusammenhang mit PayPal handeln. Betroffen wären dann Millionen Nutzer von Gmail, Yahoo, Hotmail sowie länderspezifischen Domains.

Struktur der Datensätze erleichtert den Missbrauch durch Kriminelle

Des Weiteren gebe „Chucky_BF“ an, dass der 1,1 Gigabyte große Datensatz Konten von vielen Nutzern weltweit beinhalte. Bedrohlich sei nicht nur die große Anzahl der offengelegten Konten, sondern auch die Art der Daten, die angeblich enthalten seien. Neben den E-Mail- und Passwortkombinationen enthielten viele Datensätze auch URLs, die direkt mit PayPal-Diensten verknüpft seien. Endpunkte wie /signin, /signup, /connect sowie Android-spezifische URLs erwähne er ebenfalls in seinem Angebot. Diese Details deuteten darauf hin, dass der Datensatz so strukturiert sei, dass es Kriminellen leichter fallen könnte, Anmeldungen zu automatisieren oder Dienste zu missbrauchen.

Auch Troy Hunt, Gründer von „Have I Been Pwned“ (HIBP), äußerte Zweifel daran, dass PayPal Passwörter im Klartext speichert. Auf X vermutet er ebenfalls, dass die Daten durch die Verwendung von Schadsoftware erbeutet wurden. Insgesamt sieht er vier Möglichkeiten. Neben dem bereits erwähnten Einsatz von Infostealer-Malware könnte auch Credential Stuffing genutzt worden sein. Bei dieser Form des Cyberangriffs werden gestohlene Zugangsdaten, also Kombinationen aus Benutzernamen und Passwörtern, automatisiert verwendet, um sich bei verschiedenen Onlinediensten einzuloggen. Die Hacker erbeuten die Logindaten aus einem Datenleck, etwa bei einem Onlineshop.

[etd-related posts=“4627490″]

Hacker könnte auch ein Lügner sein

Eine weitere Technik, um an Datensätze zu gelangen, sei laut Hunt ein Magecart-Angriff. Dabei werden Zahlungsdaten direkt auf Websites abgegriffen, insbesondere beim Checkoutprozess von Onlineshops. Diese Technik ist auch bekannt als Web Skimming, Formjacking oder Digital Skimming.

Es könne aber auch sein, dass der Hacker schlicht und einfach lügt, schreibt Hunt auf X. Der Sicherheitsforscher hat HIBP 2013 gegründet. Dabei handelt es sich um einen kostenlosen Onlinedienst, mit dem man prüfen kann, ob eine E-Mail-Adresse oder Telefonnummer in einem bekannten Datenleck kompromittiert wurde.

PayPal war im Dezember 2022 Ziel eines Cyberangriffs. Damals gelang es Hackern, auf knapp 35.000 Konten zuzugreifen. Das Unternehmen gab damals an, schnell reagiert zu haben, sodass niemand zu Schaden kam.

PayPal hat den Vorfall bislang nicht kommentiert. Eine Anfrage von Epoch Times blieb bis zur Veröffentlichung des Artikels unbeantwortet.