PayPal legt Datenleck offen, bei dem sechs Monate lang Nutzerdaten offengelegt wurden

 (bleepingcomputer.com)
2 Punkte von GN⁺ 2026-02-22 | 1 Kommentare | Auf WhatsApp teilen
  • Durch einen Fehler im Kreditantragssystem wurden sensible personenbezogene Daten von Kunden etwa sechs Monate lang nach außen offengelegt
  • Zu den offengelegten Daten gehörten Name, E-Mail-Adresse, Telefonnummer, Geschäftsadresse, Sozialversicherungsnummer und Geburtsdatum
  • PayPal machte die Codeänderung am Tag nach der Entdeckung rückgängig und sperrte den Zugriff; zudem wurden für einige Konten nicht autorisierte Transaktionen erstattet
  • Betroffenen Kunden bietet das Unternehmen zwei Jahre kostenlose Kreditüberwachung und Identitätswiederherstellung über Equifax an
  • Nach Angaben des Unternehmens gab es keinen Systemeinbruch; nur die Daten von etwa 100 Kunden seien offengelegt worden

Überblick über das Datenleck

  • Durch einen Softwarefehler bei PayPal Working Capital (Kreditanwendung) wurden Kundendaten nach außen offengelegt
    • Als Offenlegungszeitraum wurde der 1. Juli bis 13. Dezember 2025 festgestellt
    • Zu den offengelegten Informationen gehörten Name, E-Mail-Adresse, Telefonnummer, Geschäftsadresse, Sozialversicherungsnummer und Geburtsdatum
  • PayPal entdeckte das Problem am 12. Dezember 2025 und machte die Codeänderung am folgenden Tag rückgängig, um den Zugriff zu unterbinden
  • Das Unternehmen erklärte, dass durch diesen Fehler personenbezogene Daten (PII) einer kleinen Zahl von Kunden für unbefugte Zugreifende offengelegt wurden

Gegenmaßnahmen und Kundenschutz

  • PayPal erstattete einigen Kunden, bei denen unautorisierte Transaktionen aufgetreten waren
  • Betroffene Kunden erhalten zwei Jahre lang kostenlos den 3-Bureau-Credit-Monitoring- und Identitätswiederherstellungsdienst von Equifax
    • Frist für die Registrierung des Dienstes ist der 30. Juni 2026
  • Für alle betroffenen Konten wurden die Passwörter zurückgesetzt; beim nächsten Login müssen neue Zugangsdaten erstellt werden
  • Kunden wird empfohlen, Kreditberichte und Kontoaktivitäten zu überwachen
  • PayPal betonte erneut, dass das Unternehmen niemals telefonisch, per SMS oder per E-Mail nach Passwörtern oder Bestätigungscodes fragt

Stellungnahme des Unternehmens und weitere Erläuterungen

  • Nach der Aktualisierung des Artikels erklärte ein PayPal-Sprecher, dass das System selbst nicht kompromittiert wurde
    • Betroffen waren etwa 100 Kunden; hervorgehoben wurde, dass es sich nicht um einen Systemeinbruch, sondern um eine Offenlegung durch einen Codefehler handelte
    • „Wenn die Möglichkeit besteht, dass Kundendaten offengelegt wurden, besteht eine gesetzliche Benachrichtigungspflicht“, hieß es
  • Das bedeutet: Die Sicherheitssysteme blieben intakt, aber durch einen Codefehler konnten Daten von außen eingesehen werden

Frühere ähnliche Vorfälle

  • Im Dezember 2022 gab es bereits einen Vorfall, bei dem durch einen groß angelegten Credential-Stuffing-Angriff 35.000 Konten kompromittiert wurden
  • Im Januar 2025 verhängte der Bundesstaat New York im Zusammenhang mit diesem Vorfall einen Vergleich über 2 Millionen US-Dollar gegen PayPal
    • Begründet wurde die Sanktion damit, dass PayPal damals staatliche Cybersicherheitsvorschriften nicht eingehalten hatte

Zusammenfassung der Reaktionen aus der Community

  • Einige Nutzer fragten, „wie Daten offengelegt werden konnten, wenn das System nicht kompromittiert wurde“
  • Zur Erklärung wurde die Metapher angeführt, dass das Sicherheitssystem wie ein Tresor sicher war, aber durch einen Codefehler die Tür offenstand
    • Der Vorfall wird also als Fall verstanden, bei dem Informationen nicht durch Hacking, sondern durch einen Fehler im Entwicklungscode nach außen offengelegt wurden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-22
Hacker-News-Kommentare
  • Vor fast 20 Jahren hat PayPal mir einmal ohne ersichtlichen Grund 15 Dollar weggenommen.
    Ich hatte nach einem einzigen Spielkauf Restguthaben sechs Monate liegen lassen und wollte es dann bei eBay verwenden, woraufhin mein Konto sofort gesperrt wurde.
    Als sie sogar eine notariell beglaubigte Ausweiskopie verlangten, habe ich einfach aufgegeben. Seitdem habe ich mir geschworen, es „nie wieder zu benutzen“, und bis heute kein einziges Mal bereut.
    Wenn man sieht, dass jedes Jahr neue Vorfälle ans Licht kommen, fühlt sich diese Entscheidung von damals richtig an.
    Hoffentlich verklagt irgendwann jemand diese Firma auf eine riesige Summe und zwingt sie zur Schließung.
    • Ich habe früher auf Reddit einmal einen Beitrag gesehen mit dem Titel „PayPal hat 600.000 Dollar von mir eingefroren“.
      Wie sich herausstellte, ging es dabei um die Zeit, als Notch Alpha-Versionen von Minecraft über seine persönliche Website verkaufte. Damals wirkte das wirklich wie Betrug.
    • Ich dachte, Unternehmen dürften mit liegen gelassenem Geld keinen Gewinn machen.
      Normalerweise wird so etwas doch an die staatliche Stelle für nicht abgeholte Vermögenswerte überführt.
      Dann wäre es vielleicht weniger Gier als schlichte Inkompetenz.
    • Ich habe auch einmal versucht, mich bei PayPal anzumelden, um Geld für ein Geschenk für Kolleg:innen zu sammeln, aber direkt nach der Bankverifizierung wurde mein Konto gesperrt.
      Als sie verlangten, beim Support anzurufen und sogar meinen Ausweis zu scannen, habe ich das Konto einfach gelöscht und stattdessen eine digitale Geschenkkarte verwendet.
    • PayPal hat eine monopolartige Stellung, und echte Alternativen gibt es kaum.
  • Früher war PayPal im Internet einmal die vertrauenswürdigste Zahlungsmethode.
    Inzwischen kann man es aber durch Stripe, Plaid, Google Pay, Apple Pay und andere ersetzen, und PayPal ist langsam und der Support ist miserabel.
    Aus Verbrauchersicht gibt es keinen Grund mehr, es zu nutzen.
    • Trotzdem habe ich dank der Funktion G&S (Waren und Dienstleistungen) schon einmal mein Geld nach einem Betrug zurückbekommen.
      F&F (Freunde und Familie), Venmo oder Zelle bieten diesen Schutz nicht und sind deshalb riskant.
    • PayPal hat nach wie vor eine vorteilhafte Gebührenstruktur für Kleinstzahlungen.
      Auf ardour.org gibt es zum Beispiel jeden Monat Tausende von 1-Dollar-Zahlungen, und dank PayPal spart man dort 23 Cent pro Transaktion.
    • Stripe und Plaid sind nur in begrenzten Ländern verfügbar.
      PayPal hat nach wie vor weltweit eine hohe Bekanntheit.
    • Wenn ich bei Best Buy mit meiner Kreditkarte bezahle, wird die Zahlung immer storniert, aber mit PayPal geht sie problemlos durch.
      Das liegt vermutlich an den Betrugserkennungsalgorithmen.
    • Früher war PayPal die einzige einfache Möglichkeit, international zu bezahlen.
      Stripe war zeitweise nur in den USA verfügbar.
  • Laut dem Artikel sagte PayPal, man habe „den Fehler durch eine Codeänderung rückgängig gemacht, und die Benachrichtigung sei nicht wegen Ermittlungen der Strafverfolgungsbehörden verzögert worden“.
    Der Grund für die zweimonatige Verzögerung bleibt aber weiterhin unklar.
    Zumindest die Tatsache des Datenlecks hätte man wohl schon früher offenlegen können.
    • „Es lag nicht an Ermittlungen der Strafverfolgungsbehörden“ ist ein verdächtig spezifisches Dementi.
      Es bedeutet nur, dass es nicht an Ermittlungen lag; es gibt viele andere mögliche Gründe für die Verzögerung — zum Beispiel „weil es peinlich war“.
    • Und wenn es kurz vor Weihnachten war? Dann hätten sie es meiner Meinung nach sowieso nicht veröffentlicht.
  • Die Formulierung „Unsere Systeme wurden nicht kompromittiert“ ist ein ziemlich geschicktes Framing.
    Wegen eines Codefehlers waren sechs Monate lang SSNs offengelegt, aber weil niemand von außen eingedrungen ist, nennt man es „keine Kompromittierung“.
    Dasselbe Muster sieht man immer wieder bei Firebase, Supabase, Kredit-Apps und anderen.
    Ob es ein Hack war oder die Tür einfach offenstand — für die Betroffenen ist es am Ende dasselbe Problem.
  • Ich habe vor Kurzem versucht, mich bei PayPal anzumelden, bin aber wegen des chaotischen Verifizierungsprozesses gescheitert.
    Wenn die Kundengewinnung schon auf diesem Niveau läuft, überrascht mich ein Sicherheitsvorfall auch nicht.
    • Es wird inzwischen immer schwieriger, ein neues Konto zu eröffnen oder ein lange ungenutztes Konto wieder zu aktivieren.
      Das Problem sind übermäßige Automatisierung und aufdringliche Verifizierungsverfahren.
      Ich wollte meinem Kind mit meinem Microsoft-Konto Minecraft bezahlen, aber vom Login bis zur Zahlung wurde alles durch alle möglichen Verifizierungen und Fehler blockiert.
      Am Ende dominiert Sicherheit die Nutzererfahrung.
  • Es hieß, Betroffene bekämen zwei Jahre lang den Kreditüberwachungsdienst von Equifax. Eine wirklich „elegante“ Maßnahme.
    • Wenn man an den Equifax-Datenvorfall von 2017 denkt, ist das ironisch.
    • Die meisten Unternehmen scheinen zu denken: „Selbst wenn es einen Sicherheitsvorfall gibt, reicht es, einfach Kreditüberwachung anzubieten.“
      Für Betroffene ist es schwer, tatsächlich zu klagen, und am Ende profitieren bei Sammelklagen vor allem die Anwälte.
  • In Europa hoffe ich, dass WERO PayPal ersetzt. Der Name ist allerdings etwas komisch.
    • Wero unterscheidet sich im Grunde nicht von einer normalen SEPA-Überweisung.
      PayPal hat immerhin einen Käuferschutz.
    • Keiner der Shops, die ich häufig nutze, unterstützt bisher Wero.
  • Jemand stellte die Frage: „Wer bei PayPal geht wegen dieses Vorfalls ins Gefängnis?“
    • Ich habe früher auch so gedacht, aber inzwischen ist mir klar geworden, dass Unternehmen über dem Gesetz stehen.
      Strafen zu zahlen ist billiger, als sich an das Gesetz zu halten, und die Politik kommt technologisch nicht hinterher.
      Am Ende bleibt Verbraucherschutz auf der Strecke.
    • Wenn es sich allerdings nur um einen Vorfall durch einen simplen Bug handelt, wäre Gefängnis aus meiner Sicht überzogen.
      Fehler können jedem passieren, und wenn es ein Irrtum ohne böse Absicht war, braucht es eher Verbesserungen als Bestrafung.
  • Ich habe mich gerade eingeloggt, dann erschien die Aufforderung „Passwort zurücksetzen“, und nach dem CAPTCHA blieb die Seite einfach hängen.
    Jetzt ist das Konto komplett gesperrt. Ganz toll, PayPal.
  • Jemand hat mit meiner E-Mail-Adresse ein PayPal-Konto für Zahlungen für Erwachsenen-Inhalte erstellt, weshalb ich mich selbst als Erwachsener mit dieser Adresse immer noch nicht registrieren kann.
    PayPal hat Zahlungen ohne E-Mail-Bestätigung erlaubt.
    Ich habe den Support kontaktiert, bekam aber nur die Antwort, dass man nichts tun könne.
    Deshalb nutze ich nur Stripe, Link oder direkte Kreditkartenzahlung.
    In Kanada kann man seit 2003 mit e-Transfer gebührenfrei Geld versenden, daher braucht man PayPal dort überhaupt nicht.