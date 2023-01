Die Zahlungsplattform PayPal hat der US-Staatsanwaltschaft eine Datenpanne gemeldet. Knapp 35.000 Kunden sind von dem Datenleck betroffen. Kriminelle Hacker konnten sich nach Aussagen von PayPal Zugriff auf Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten verschaffen. Aktuell informiert PayPal die betroffenen Kunden und hat deren Passwörter zurückgesetzt. Auch wenn das Unternehmen beteuert, dass es bisher zu keinem Missbrauch der Daten gekommen sei, ist den Kunden ein Schaden entstanden. Sind Daten einmal im Internet veröffentlich, kann es jederzeit zu einem Datenmissbrauch kommen. Die Kanzlei Dr. Stoll & Sauer bietet daher PayPal-Kunden eine kostenlose Erstberatung im Online-Check an. Zur Erstberatung gehört auch ein Betroffenheits-Check für andere Datenlecks wie bei Facebook. Mehr Infos zum Thema Datenlecks gibt es auf unserer speziellen Website.

Hackerangriff bei PayPal mit vorher gestohlenen Zugangsdaten

Mit PayPal hat es jetzt nach Mastercard den nächsten Zahlungsdienstleister mit einem Datenleck erwischt. Knapp 35.000 Kunden sind von der Datenpanne nach Angaben von PayPal betroffen. Was ist im Detail über das Datenleck bekannt?

Nach Medienberichten entdeckte PayPal den Hackerangriff am 20. Dezember 2022. Bei der eingeleiteten Untersuchung stellte sich heraus, dass der Angriff bereits zwischen dem 6. und 8. Dezember stattgefunden hat.



PayPal hat daraufhin bei der Generalstaatsanwaltschaft Maine das unbefugte Abfließen von persönlich identifizierbaren Informationen (PII) gemeldet, also ein Datenleck. Angreifer hätten bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet - und hatten in knapp 35.000 Fällen Erfolg.



Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden.



Die Kriminellen haben laut Anzeige von PayPal Zugriff auf die Namen der Kunden, deren Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern sowie Geburtsdaten erlangt. PayPal hat an betroffene Kunden inzwischen eine Benachrichtigung geschickt, die sie über das Datenleck informieren soll.



PayPal hat bisher keine Informationen darüber, dass es zum Missbrauch der Daten und zu unberechtigten Transaktionen gekommen ist. Nach dem Log-in ist es in der Regel ein Leichtes, zumindest kleinere Summen via PayPal zu verschicken. PayPal gibt an, die Passwörter erfolgreich angegriffener Konten zurückgesetzt und erweiterte Sicherheitsprüfungen implementiert zu haben



Fazit: Das Datenleck bei PayPal stellt für die betroffenen Verbrauchern eine Datenkatastrophe und klaren Verstoß gegen den Datenschutz dar. PayPal hätte die Daten besser schützen müssen. Außerdem zeigt die Credential-Stuffing-Attacke, dass Anmeldedaten nie für unterschiedliche Accounts genutzt werden sollten.

Welche Folgen hat das Datenleck bei PayPal?

Auf den ersten Blick ist für Kunden von PayPal noch nicht viel passiert. Doch die nächste Spam- und Phishing-Welle rollt bereits auf die Verbraucher zu. Das kann mehr als nervig sein. Die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es auch zum großen Datenklau bei anderen Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass Kriminelle weitere personenbezogene Daten miteinander verknüpfen und zum Schluss die Identität von Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen. Bereits jetzt werden die Mails von Banken täuschend echt kopiert. Wer da im Eifer des Tagesgeschäft die falsche Taste drückt, kann große Probleme bekommen. Die Gefahr eines Datenlecks liegt in dem Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, sind sie für Kriminelle jederzeit benutzbar. Die Gefahr liegt also in der Zukunft. Gerade bei PayPal hatten die Hacker Zugriff auf hochsensible Daten wie die Sozialversicherungsnummer. Gerät die in falsche Hände, ist dem Missbrauch Tor und Tür geöffnet.

PayPal-Kunden ist ein Schaden durch das Datenleck entstanden

PayPal-Nutzer haben ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber Auskunft erteilen. Innerhalb eines Monats muss das Unternehmen Auskunft erteilen. So sieht es Artikel 12 DSGVO vor. Letztlich ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Erste Gerichte haben beispielsweise Facebook zur Zahlung von Schmerzensgeld in erster Instanz verurteilt, weil der Social-Media-Riese die Daten seiner Kunden besser hätte schützen müssen. Grundlage dafür ist Artikel 82 DSGVO. Die Verordnung sieht bei schuldhaften Verstößen bei den Geschädigten einen Anspruch auf ein "angemessene Schmerzensgeld". Dr. Stoll & Sauer bietet für PayPal-Kunden eine kostenlose anwaltliche Erstberatung im Online-Check an. Hier kann zwar noch nicht die Betroffenheit vom Datenleck gecheckt werden. Wir zeigen jedoch die Möglichkeiten auf, gegen PayPal juristisch vorzugehen.

Quelle: Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH (ots)