Un certo Chucky_BF ha messo in vendita quasi 16 milioni di credenziali PayPal su un noto forum al prezzo di 750 dollari. Il cybercriminale afferma che il data breach è avvenuto il 6 maggio 2025. L’azienda californiana ha dichiarato che si tratta di dati rubati nel 2022 tramite un attacco di credential stuffing.
Credenziali “riciclate” dal cybercriminale?
Nel post pubblicato su un noto forum è stato usato il titolo “Global PayPal Credential Dump 2025”. Il cybercriminale scrive che sono in vendita indirizzi email e password in chiaro di 15,8 milioni di account PayPal per un totale di circa 1,1 GB. Il furto dei dati sarebbe avvenuto il 6 maggio 2025.
Non è noto se le credenziali sono uniche. Potrebbe esserci doppioni o coppie email/password non più valide. In molti casi, gli account presenti nel database sono in doppio formato (web e mobile). Il cybercriminale chiede 750 dollari, suggerendo anche possibili usi, tra cui phishing, truffe e credential stuffing.
PayPal ha smentito le affermazioni del cybercriminale. Non è un nuovo data breach, ma sono credenziali sottratte nel 2022 tramite un attacco di credential stuffing. In pratica erano state esfiltrate da servizi di terze parti. Gli utenti hanno usato le stesse credenziali dell’account PayPal. L’azienda californiana ha pagato una multa di 2 milioni di dollari a gennaio 2025 per la violazione delle legge sulla cybersicurezza dello Stato di New York.
Il cybercriminale ha confermato che il furto è avvenuto a maggio 2025. PayPal non ha mai subito un data breach diretto. Forse anche in questo caso è avvenuta un’intrusione nei sistemi di altre aziende. Gli utenti devono comunque attivare l’autenticazione multi-fattore e prestare molta attenzione ad eventuali email sospette.
