750 Dollar für 15,6 Millionen Paypal-Logins, so lautet das aktuelle Angebot eines Users namens „Chucky_BF“ im Internet. Für diesen relativ bezahlbaren Preis soll der Käufer also Zugang zu Millionen von Paypal-Konten erhalten, über E-Mail-Adressen, Passwörter, URLs.
Ob das Datenpaket dieses Versprechen einlöst, ist derzeit noch unklar. Auch, weil nicht klar ist, woher die Daten kommen sollen. Cybersicherheits-Experte und „Haveibeenpwned“-Erfinder Troy Hunt (externer Link) schließt aus, dass sie direkt von Paypal kommen, da Passwörter dort nicht unverschlüsselt gespeichert werden. Vielmehr könnten die Daten stattdessen über andere Methoden wie Phishing- oder Malware-Attacken gesammelt worden oder das Ganze schlicht eine Lüge sein.
Auch „Heise“ folgert (externer Link), dass es sich bei den offenbar recht unstrukturierten Daten um eine Zusammenstellung von Informationen aus anderen, etwa auch älteren Daten-Sammlungen handeln könnte. Auch der Preis von 750 Dollar weise demnach auf eine „eher maue Qualität der Daten“ hin.
Bin ich betroffen?
Auf der riesigen Daten-Liste könnten also durchaus viele veraltete und falsche Logins stehen, zahlreiche Accounts gibt es möglicherweise gar nicht (mehr). Dennoch ist nicht auszuschließen, dass sich auch echte, funktionierende E-Mail-Adresse/Passwörter-Kombinationen darauf finden – möglicherweise auch Ihre.
Und nun? Die gute Nachricht ist, dass ziemlich bis komplett irrelevant ist, ob sie im von „Chucky_BF“ angebotenen Datenpaket zu finden ist. Denn selbst, wenn Ihr Login dort nicht steht, könnte er auf einer morgen veröffentlichten kleineren Liste stehen, über die vielleicht weniger berichtet würde, von der Sie gar nichts mitbekommen. Oder nächste Woche in einem Hacker-Datensatz auftauchen. Oder nächsten Monat.
Gut ist diese Nachricht, weil sie zugleich heißt: Nachforschungen dazu, ob Ihre Daten in diesem oder sonst einem geleakten Datensatz auftauchen und wie die Daten dorthin gekommen sind, helfen jetzt genauso wenig weiter wie Panik.
Was tun?
Stattdessen ist es viel wichtiger, seine Logins ganz unabhängig von aktuellen Hacks und Leaks grundsätzlich zu schützen. Dabei hilft Folgendes:
- Passwörter nicht mehrfach verwenden. Man sollte also etwa nicht das gleiche Passwort für Instagram, das Lokalzeitungs-Abo, Netflix und Paypal nutzen. Cyberkriminellen reicht sonst ein Hack bei einer (vielleicht weniger heiklen) Website, um Zugang zu heiklen Plattformen wie eben Paypal zu erhalten. Manchen kann dabei ein Passwort-Manager helfen.
- Zwei-Faktor-Authentifizierung nutzen. In den Paypal-Einstellungen (funktioniert nur im Webbrowser, nicht in der App) können Sie die sogenannte zweistufige Verifizierung aktivieren. In diesem Fall müssen Sie zusätzlich zum Passwort oder Fingerabdruck-Scan, noch einen aktuellen Code angeben, der ihnen etwa über eine zusätzliche Authentifizierungs-App am Handy bereitgestellt wird. Ein Cyberkrimineller kann sich so zum Beispiel mit einer reinen E-Mail/Passwort-Kombination, die er etwa über einen Hack bekommt, nicht in ihr Konto einloggen.
Paypal-Passwort ändern
Im aktuellen Fall kann es zudem helfen, das eigene Paypal-Konto in nächster Zeit noch genauer auf ungewöhnliche Zahlungen, Benachrichtigungen oder Meldungen hin zu beobachten. Wer sich unsicher fühlt, kann zudem auch die Gelegenheit nutzen und sein aktuelles Paypal-Passwort ändern – in eines, das er oder sie bei keiner anderen Plattform verwendet.
