PayPal se ponovno našao u središtu ozbiljnog sigurnosnog skandala nakon što se na darknetu pojavio oglas za prodaju masivne baze korisničkih podataka. Prema izvještajima portala Hackread i Cybernews, haker koji tvrdi da posjeduje pristupne podatke objavio je takozvani „Global PayPal Credential Dump 2025”, koji sadrži čak 15,8 milijuna kombinacija email adresa i lozinki u običnom tekstualnom obliku. U paketu se navodno nalaze i specifične korisničke putanje (endpoints) koje bi napadačima mogle omogućiti automatizirane prijave i zloupotrebu PayPal-ovih usluga. Cijela arhiva teži oko 1,1 GB, a prodaje se za 750 dolara.
PayPal je u izjavi za Cybernews pokušao umanjiti ozbiljnost situacije, tvrdeći da se ne radi o novom incidentu, već o starijem proboju iz 2022. godine. Podsjetimo, tada je kompanija bila žrtva credential stuffing napada, a u siječnju 2025. platila je i kaznu od 2 milijuna dolara američkim regulatorima jer sigurnosne mjere na njihovoj platformi nisu bile dovoljne za zaštitu osobnih podataka korisnika, uključujući brojeve telefona, email adrese, kućne adrese pa čak i socijalne brojeve osiguranja.
No, osoba koja prodaje podatke poriče PayPal-ove tvrdnje i navodi da baza dolazi iz svježeg incidenta u svibnju 2025. godine. Zanimljivo je da PayPal u tom periodu nije prijavio nikakav sigurnosni propust, što otvara prostor sumnji da se možda radi o informacijama ukradenim putem infostealer malvera na računalima korisnika, a ne direktnim upadom u PayPal-ove servere.
Autentičnost podataka trenutno se ne može u potpunosti provjeriti jer je pristup moguć samo kupovinom cijele baze. Međutim, stručnjaci upozoravaju da bi, ukoliko su podaci stvarni, posljedice mogle biti vrlo ozbiljne – od krađe identiteta do pražnjenja PayPal računa povezanih s bankovnim karticama.
Korisnicima se savjetuje da odmah promijene lozinku, posebno ako je ista korištena i na drugim servisima, te da obavezno uključe dvofaktorsku autentifikaciju (MFA) radi dodatne zaštite. Kako sve ukazuje, čak i giganti poput PayPala nisu imuni na sigurnosne propuste – a odgovornost za sigurnost računa sve je više i na samim korisnicima.
