Tal como qualquer instituição financeira, o PayPal é um alvo muito apetecível para roubos de informação, uma vez que a plataforma é responsável pela gestão de transacções de milhões de utilizadores a nível mundial. É, portanto, extremamente alarmante quando um agente malicioso afirma ter acesso às credenciais de acesso de milhões de contas e as está a vender online.
De acordo com diversas fontes, tais como a Hackread e a Cybernews, que tiveram acesso ao enorme volume de dados do PayPal, o repositório “Global PayPal Credential Dump 2025”, à venda na Dark Web, contém endereços de email e passwords em texto simples de 15,8 milhões de contas. O vendedor também afirma ter acesso a endpoints específicos de utilizador que podem ser utilizados para automatizar acessos e para abusar de outros serviços do PayPal. No total, é cerca de 1,1 GB de informação e o vendedor está a pedir 750 dólares por quem queira ter acesso a esses dados.
Numa declaração ao site Cybernews, o PayPal desvalorizou a situação, afirmando que o volume de dados não é resultado de uma nova violação da plataforma, mas sim de um incidente de cibersegurança que aconteceu em 2022. Nesse ano, o PayPal sofreu um ataque de credential-stuffing, e, em Janeiro de 2025, a empresa pagou uma multa de 2 milhões de dólares aos reguladores norte-americanos, após ter sido considerado que as medidas de segurança da plataforma não eram suficientemente fortes para gerir quem acede a dados pessoais de utilizadores, como números de telefone, endereços de e-mail, moradas e números de segurança social.
No entanto, o vendedor negou que estes dados sejam provenientes de uma violação mais antiga, e diz que são, na verdade, de um incidente que ocorreu em Maio de 2025. Curiosamente, o PayPal não divulgou qualquer falha de cibersegurança que tenha ocorrido durante esse período. Isto indica que, se os dados forem válidos, poderão ter sido capturados através de um malware infostealer. Dito isto, é impossível verificar a autenticidade dos dados sem se poder analisá-los a fundo. Como sempre, certifique-se de que tem uma password forte que foi actualizada recentemente e que utiliza mecanismos de autenticação de múltiplos factores (MFA).
