Due dollari. È questo il prezzo richiesto sul dark web per un database contenente 15,8 milioni di credenziali PayPal complete di email, password in chiaro e URL associati. Gli hacker sostengono di averle rubate a maggio 2025, PayPal nega categoricamente parlando di dati vecchi del 2022. Nel dubbio, la cosa migliore da fare è cambiare la password. Ora.
PayPal hackerato: 16 milioni di password nel dark web a 2 dollari
Eppure, qualcosa puzza in questa storia. I ricercatori di Cybernews, che per primi hanno scoperto il leak su un noto forum di data breach, sono perplessi. Nel mercato nero del cybercrimine, i prezzi seguono logiche precise. Dati freschi e non ancora sfruttati valgono oro. Se questi 16 milioni di credenziali fossero davvero state rubate a maggio 2025 come affermano gli hacker, il prezzo sarebbe astronomico, migliaia o decine di migliaia di dollari.
Due dollari è un prezzo da svendita totale. Questo suggerisce che i criminali hanno già usato questi dati per tutto quello che potevano. Hanno fatto login negli account più promettenti, hanno svuotato i saldi disponibili, hanno tentato acquisti fraudolenti, hanno rivenduto gli account premium ad altri criminali. Ora vendono gli “scarti” a chiunque voglia tentare la fortuna con quello che resta.
Ma c’è un’altra possibilità ancora più inquietante. Il prezzo basso potrebbe essere una strategia per massimizzare la diffusione. Più persone comprano il database, più attacchi simultanei partono, più difficile diventa per PayPal e le autorità tracciare e bloccare tutto.
PayPal ha risposto rapidamente alle accuse, negando la violazione. I dati, sostengono, provengono da un incidente di sicurezza
del 2022 che aveva già comportato una multa di 2 milioni di dollari dal Department of Financial Services di New York per violazione delle normative sulla cybersecurity.
Ma c’è un problema “matematico” evidente. Nel 2022 PayPal ammise che erano stati compromessi “solo” 35.000 account. Come si passa da 35.000 a 15,8 milioni? PayPal suggerisce che i dati provengano da attacchi di credential stuffing e infostealer, non da una violazione diretta dei loro sistemi.
Gli hacker, dal loro lato, insistono: maggio 2025. E affermano di avere migliaia di password forti e uniche
, non le solite password riutilizzate tipiche degli attacchi di credential stuffing. Chi dice la verità? Probabilmente entrambi mentono un po’.
Infostealer: il ladro silenzioso
La teoria più probabile, secondo gli esperti di sicurezza, è che questo database sia un aggregato di dati rubati da infostealer nel corso di anni. Sono una categoria particolarmente subdola di malware che si installa silenziosamente sui dispositivi e ruba tutto: password salvate nei browser, cookie di sessione, dati di carte di credito, screenshot, persino appunti copiati.
Questi malware sono ovunque. Si nascondono in crack di software, download illegali, estensioni browser malevole, persino in pubblicità compromesse su siti legittimi. Una volta installati, trasmettono i dati rubati a server remoti e poi, nelle versioni più sofisticate, si auto-distruggono per non lasciare tracce.
Cosa fare subito (spoiler: non solo PayPal)
1. Cambiare la password di PayPal immediatamente
Non bisogna rimandare a domani. Va fatto subito. E non una password qualsiasi: lunga, complessa, unica. Se si usano “Password123!” si è parte del problema.
2. Controllare dove si usa quella password
La maggior parte degli utenti Internet, riutilizza le password. Quella password PayPal è anche la password di Amazon? Netflix? di Gmail? Vanno cambiate tutte. Sì, tutte.
3. Attivare l’autenticazione a due fattori
PayPal ce l’ha, perché non usarla? Ma andrebbe attivata anche su email, banca, social media. L’autenticazione a due fattori non è perfetta, ma trasforma un disastro sicuro in un fastidio gestibile.
4. Installare un password manager
Bitwarden, 1Password, persino quello integrato in Chrome è meglio di niente. Genereranno password uniche per ogni sito e soprattutto le ricordano per noi.
La dura verità è che non importa se PayPal è stato violato o no. Il problema più grande della sicurezza online non sono le aziende che vengono hackerate, sono gli utenti che rendono il lavoro degli hacker facilissimo. Password riutilizzate, autenticazione a due fattori disattivata, clic su link sospetti, download di software pirata.
Ogni volta che si fa una di queste cose, si mette un bersaglio sulla propria schiena. I 16 milioni di credenziali in vendita a due dollari non sono il risultato di un singolo hack spettacolare. Sono l’accumulo di anni di cattive pratiche di sicurezza.
