Voor een spotprijs wil een crimineel toegang tot 15,8 miljoen PayPal-accounts verkopen. Het is onduidelijk of deze gegevens echt zijn. Toch moeten PayPal-gebruikers voor hun veiligheid zorgen. We leggen uit hoe je dat doet.
Voor het symbolische bedrag van 750 dollar, omgerekend ongeveer 640 euro, biedt een crimineel op internet een dataset aan die zogenaamd toegang geeft tot miljoenen PayPal-accounts. Volgens de IT-beveiligingswebsite “Hackread” verscheen dit aanbod op een forum over cybercriminaliteit. In het betreffende bericht, waarvan een screenshot door Hackmanac op het platform X is gepubliceerd, is sprake van 15,8 miljoen combinaties van e-mailadressen en wachtwoorden die in open vorm zijn opgeslagen.
De leverancier, die onder het pseudoniem Chucky_BF optreedt, noemt het pakket “Global PayPal Credential Dump 2025”, waarmee hij kennelijk wil aangeven dat het gegevens uit de hele wereld bevat. Volgens de hacker is het bestand met de gegevens 1,1 gigabyte groot.
De authenticiteit van de gegevens is onduidelijk
Het is echter onduidelijk of de verstrekte gegevens wel echt zijn. Experts van Hackread hebben de door de verkoper verstrekte gegevens geanalyseerd en ontdekt dat er naast duidelijk werkende combinaties ook valse combinaties zijn, evenals combinaties die waarschijnlijk alleen voor testdoeleinden zijn gebruikt.
Op cybercriminaliteitsforums proberen criminelen vaak geld te verdienen met gegevens die ze zogenaamd hebben verkregen door hacking. In werkelijkheid zijn de gegevens in dergelijke databases echter vaak onjuist of verouderd.
IT-expert Troy Hunt wees op X in verband met de huidige zaak erop dat de aangeboden gegevens “zeker niet openbaar verkrijgbaar waren via PayPal”. Hunt is de oprichter van de website HaveIBeenPwned en wordt beschouwd als een expert op het gebied van datalekken. Volgens hem zijn de vermeende inloggegevens waarschijnlijk verzameld uit andere bronnen met behulp van automatische opvraagmethoden of met behulp van zogenaamde “infostealers” – kwaadaardige programma’s die inloggegevens stelen van geïnfecteerde computers.
Wat moet u doen
Zelfs als het onduidelijk is of de verstrekte gegevens authentiek zijn en zelfs als het onduidelijk is of uw PayPal-gegevens in de lek zitten, moet u controleren of de volgende maatregelen in uw geval relevant zijn:
- Wijzig uw PayPal-wachtwoord. Bij twijfel is dit een goed moment om uw betaaldienst te beveiligen met een nieuw wachtwoord, dat moet bestaan uit een willekeurige combinatie van hoofdletters, kleine letters, cijfers en speciale tekens.
- Controleer of u uw PayPal-wachtwoord ook op andere websites of bij andere diensten hebt gebruikt. Zo ja, wijzig dan ook daar uw wachtwoorden. Vergeet niet dat elke website een uniek wachtwoord vereist, zodat methoden zoals credential stuffing u niet kunnen misleiden.
- Activeer tweefactorauthenticatie. In ieder geval bij PayPal, maar als u dit al doet, ook bij andere providers. Tweefactorauthenticatie betekent dat uw wachtwoord op zichzelf niet meer van belang is. Om bijvoorbeeld toegang te krijgen tot PayPal is een tweede factor nodig. Dit kan een combinatie van cijfers zijn die via een sms-bericht naar uw mobiele telefoon wordt gestuurd, of een digitale code die wordt gegenereerd door een zogenaamde authenticatie-app, bijvoorbeeld van Microsoft of Google. Dit maakt het inloggen natuurlijk iets ingewikkelder, maar de winst in veiligheid is enorm, omdat wachtwoorden die op het internet circuleren hierdoor nutteloos worden.
- Gebruik een wachtwoordbeheerder. Dergelijke apps kunnen unieke en veilige wachtwoorden genereren voor elke dienst en website die u gebruikt, deze veilig opslaan en indien nodig automatisch invoeren met uw vingerafdruk of gezichtsherkenning. Dit is niet alleen handig, maar ook veilig en meestal gratis. Zowel Google als Apple hebben dergelijke applicaties in de besturingssystemen van hun smartphones geïntegreerd. Bovendien informeren ze u ook als een van uw wachtwoorden is gecompromitteerd.
