PayPal Datenleck: Softwarefehler legte Sozialversicherungsnummern monatlich offen

VonJörn Schmidt
PayPal Logo
Quelle: PayPal
Verpasse keine News, folge mir auf WhatsApp, Mastodon oder Google News

Ein simpler Fehler im Programmcode hat bei PayPal sensible Kundendaten über fast ein halbes Jahr schutzlos ins Netz gestellt. Betroffen ist die Anwendung PayPal Working Capital, die eigentlich Kredite für kleine Unternehmen vermittelt. Zwischen Juli und Dezember 2025 konnten Unbefugte auf Namen, E-Mails, Telefonnummern und Geburtsdaten zugreifen. Besonders kritisch wiegt der Diebstahl von Sozialversicherungsnummern. PayPal entdeckte das Leck erst am 12. Dezember 2025 und korrigierte den fehlerhaften Code einen Tag später. Nach offiziellen Angaben betrifft der Vorfall rund 100 Kunden.

Trotz der geringen Nutzerzahl kam es bereits zu ersten Schäden. PayPal bestätigt unbefugte Transaktionen auf Konten einiger Opfer. Das Unternehmen erstattete diese Beträge inzwischen zurück. Als zusätzliche Schutzmaßnahme setzte der Zahlungsdienstleister die Passwörter aller Betroffenen zurück. Nutzer müssen beim nächsten Login zwingend neue Zugangsdaten festlegen. Zur Wiedergutmachung bietet der Konzern einen zweijährigen kostenlosen Service zur Identitätsprüfung über Equifax an. Betroffene haben bis Ende Juni 2026 Zeit, sich für dieses Programm anzumelden.

Dieser Vorfall reiht sich in eine Serie von Sicherheitsproblemen bei dem Finanzdienstleister ein. Bereits Anfang 2023 gab es einen massiven Angriff auf 35.000 Konten. Erst vor einem Jahr musste PayPal zudem eine Strafe von zwei Millionen US-Dollar zahlen. Grund war die mangelhafte Umsetzung von IT-Sicherheitsvorgaben im Bundesstaat New York. Dass nun erneut private Daten durch interne Fehler abfließen konnten, wirft kein gutes Licht auf die Qualitätskontrolle der Softwareabteilung.

PayPal betont nun, dass keine externen Systeme kompromittiert wurden. Dennoch sollten Kunden ihre Abrechnungen genau prüfen. Betrüger nutzen solche Lecks oft für gezielte Phishing-Attacken. Der Zahlungsriese stellt klar, dass Mitarbeiter niemals nach Passwörtern oder Einmal-Codes per SMS oder Mail fragen. Wer Post von PayPal erhält, sollte die Identitätsschutz-Option zeitnah aktivieren. Eine engmaschige Kontrolle der eigenen Kreditberichte bleibt für die nächsten Monate unerlässlich.


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert