Hackerangriff bei PayPal mit vorher gestohlenen Zugangsdaten
Mit PayPal hat es jetzt nach Mastercard den nächsten Zahlungsdienstleister mit einem Datenleck erwischt. Knapp 35.000 Kunden sind von der Datenpanne nach Angaben von PayPal betroffen. Was ist im Detail über das Datenleck bekannt?
- Nach Medienberichten entdeckte PayPal den Hackerangriff am 20. Dezember 2022. Bei der eingeleiteten Untersuchung stellte sich heraus, dass der Angriff bereits zwischen dem 6. und 8. Dezember stattgefunden hat.
- PayPal hat daraufhin bei der Generalstaatsanwaltschaft Maine das unbefugte Abfließen von persönlich identifizierbaren Informationen (PII) gemeldet, also ein Datenleck. Angreifer hätten bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in knapp 35.000 Fällen Erfolg.
- Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden.
- Die Kriminellen haben laut Anzeige von PayPal Zugriff auf die Namen der Kunden, deren Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern sowie Geburtsdaten erlangt. PayPal hat an betroffene Kunden inzwischen eine Benachrichtigung geschickt, die sie über das Datenleck informieren soll.
- PayPal hat bisher keine Informationen darüber, dass es zum Missbrauch der Daten und zu unberechtigten Transaktionen gekommen ist. Nach dem Log-in ist es in der Regel ein Leichtes, zumindest kleinere Summen via PayPal zu verschicken. PayPal gibt an, die Passwörter erfolgreich angegriffener Konten zurückgesetzt und erweiterte Sicherheitsprüfungen implementiert zu haben.
Welche Folgen hat das Datenleck bei PayPal?
Auf den ersten Blick ist für Kunden von PayPal noch nicht viel passiert. Doch die nächste Spam- und Phishing-Welle rollt bereits auf die Verbraucher zu. Das kann mehr als nervig sein. Die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es auch zum großen Datenklau bei anderen Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass Kriminelle weitere personenbezogene Daten miteinander verknüpfen und zum Schluss die Identität von Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen. Bereits jetzt werden die Mails von Banken täuschend echt kopiert. Wer da im Eifer des Tagesgeschäft die falsche Taste drückt, kann große Probleme bekommen. Die Gefahr eines Datenlecks liegt in dem Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, sind sie für Kriminelle jederzeit benutzbar. Die Gefahr liegt also in der Zukunft. Gerade bei PayPal hatten die Hacker Zugriff auf hochsensible Daten wie die Sozialversicherungsnummer. Gerät die in falsche Hände, ist dem Missbrauch Tor und Tür geöffnet.
PayPal-Kunden ist ein Schaden durch das Datenleck entstanden
PayPal-Nutzer haben ein Recht darauf zu erfahren, ob sie vom Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber Auskunft erteilen. Innerhalb eines Monats muss das Unternehmen Auskunft erteilen. So sieht es Artikel 12 DSGVO vor. Letztlich ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Erste Gerichte haben beispielsweise Facebook zur Zahlung von Schmerzensgeld in erster Instanz verurteilt, weil der Social-Media-Riese die Daten seiner Kunden besser hätte schützen müssen. Grundlage dafür ist Artikel 82 DSGVO. Die Verordnung sieht bei schuldhaften Verstößen bei den Geschädigten einen Anspruch auf ein „angemessene Schmerzensgeld“. Dr. Stoll & Sauer bietet für PayPal-Kunden eine kostenlose anwaltliche Erstberatung im Online-Check an. Hier kann zwar noch nicht die Betroffenheit vom Datenleck gecheckt werden. Wir zeigen jedoch die Möglichkeiten auf, gegen PayPal juristisch vorzugehen.
Dr. Stoll & Sauer gehört zu den führenden Kanzleien
Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien in Deutschland. Mit der Expertise von 37 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterklage gegen die Mercedes-Benz Group AG.