Foto di Julio Lopez.

Un grave problema di sicurezza ha colpito gli utenti di PayPal: un database di 15,8 milioni di account è finito in vendita sul dark web, dove costa 750 dollari. L'archivio, denominato Global PayPal Credential Dump 2025, contiene email, password in chiaro e endpoint specifici per ciascun utente, che potrebbero consentire login automatizzati e attacchi mirati a servizi collegati. L'episodio ha sollevato preoccupazioni globali, considerando la diffusione di PayPal in oltre 200 Paesi e i rischi di frodi, phishing e furti d'identità. PayPal ha minimizzato l'incidente, attribuendo i dati a un attacco di credential stuffing del 2022; il venditore sostiene invece che derivano da una violazione più recente, avvenuta a maggio 2025.

Il database occupa circa 1,1 GB ed è stato pubblicizzato su un noto forum di hacking; alcuni campioni di dati suggeriscono la presenza di credenziali legate a conti Gmail, inclusi accessi alle versioni web e Android di PayPal. Sembra che i dati siano stati raccolti tramite il malware Infostealer, che ruba credenziali direttamente dai dispositivi infetti piuttosto che da una violazione diretta dei server di PayPal: ciò spiegherebbe come mai l'archivio contenga non gli hash delle password, ma le password stesse in chiaro. Software malevoli come questo sono spesso distribuiti tramite link o allegati fraudolenti e possono estrarre password e informazioni di pagamento senza lasciare tracce evidenti, rendendo difficile per gli utenti rilevare l'infezione.

PayPal ha negato che si tratti di una nuova violazione, sottolineando che i dati proverrebbero dall'attacco del 2022: per esso l'azienda ha pagato una multa di 2 milioni di dollari a gennaio 2025 per carenze nella sicurezza, come l'assenza di autenticazione a due fattori (2FA) obbligatoria e sistemi di protezione avanzati come CAPTCHA. Il venditore del database contesta questa versione, insistendo sulla freschezza dei dati. La mancanza di conferme ufficiali da parte di PayPal su un possibile attacco a maggio 2025 lascia aperta l'ipotesi che i dati siano stati raccolti tramite campagne di malware sofisticate, come suggerito dagli esperti.

Le reazioni online riflettono preoccupazione e scetticismo, con una nota interessante: alcuni commenti in Rete sottolineano che il prezzo di appena 750 dollari per 15,8 milioni di account (circa 5 centesimi per account) suggerisca che i dati possano non essere di alta qualità o già sfruttati, mentre altri temono campagne di phishing mirate. I titolari di account PayPal che temano per la sicurezza del proprio account possono compiere alcuni passi per tenersi al sicuro:

Articoli raccomandati:

App di autenticazione e chiavi hardware, anche di scorta

16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...

Violazione record: 184 milioni di credenziali pubblicate nel web

Contanti e trionfanti

- Cambiare la password, utilizzando una password unica, complessa e magari generata casualmente da un password manager;
- Attivare l'autenticazione a due fattori (2FA, che aggiunge un ulteriore livello di sicurezza richiedendo di inserire nel servizio cui si sta accedendo un codice ricevuto via SMS o generato da un'app di autenticazione;
- Tenere sott'occhio le attività dell'account, controllando regolarmente i movimenti sul proprio conto PayPal per rilevare transazioni non autorizzate;
- Verificare su Have I Been Pwned, il sito di Troy Hunt, se il proprio indirizzo email sia stato compromesso in data breach noti.

Spunti di approfondimento:

Passkey in pratica: proteggere un account Google

PayPal lancia la propria criptovaluta

Paypal e l'account Postfinance

L'email di phishing che arriva davvero da PayPal