Angeblich gab es bei Paypal einen Massendiebstahl von Nutzerdaten. Ob die E-Mail-Adressen und Passwörter echt sind, steht noch nicht fest. Mit einer kurzen Recherche können Nutzer auf Nummer sicher gehen.
Ist es bei Paypal zu einem massiven Abfluss an Nutzerdaten gekommen? Zumindest behauptet ein Krimineller in einem Untergrundforum, rund 16 Millionen Paypal-Zugangsdaten inklusive Klartext-Passwörtern abgegriffen zu haben – und bietet das Datenpaket zum Kauf an.
Dass die Daten wirklich aktuell bei Paypal abgegriffen wurden, hält Dirk Knop vom Fachdienst „Heise“ für unwahrscheinlich. Für Nutzer kann es trotzdem sinnvoll sein, auf Nummer sicher zu gehen, einige Sicherheitsüberprüfungen vorzunehmen und gegebenenfalls Vorkehrungen zu treffen.
Knop rät Verbrauchern, die fürchten, dass ihre Zugangsdaten abgeflossen sein könnten, die E-Mail-Adresse ihres Paypal-Accounts bei Have-I-Been-Pwned (https://haveibeenpwned.com/) einzugeben und prüfen zu lassen, ob diese tatsächlich in der Datensammlung auftaucht. Alternativ oder zusätzlich kann dafür auch der Identity Leak Checker des Hasso-Plattner-Instituts (HPI) genutzt werden.
Ergeben die Suchen einen – oder mehrere – Treffer, sollten Betroffene zunächst ihr Passwort beim jeweils betroffenen Dienst ändern. Um im Zweifel künftig schneller zu sein als potenzielle Angreifer, lohnt es sich, diese Überprüfung regelmäßig proaktiv vorzunehmen und möglicherweise kompromittierte Passwörter zu ändern.
„Eine Prüfung der Transaktionen auf Paypal durch direkten Log-in auf der Website kann ebenfalls sinnvoll sein“, sagt Knop. Wer in seinem Account verdächtige Aktivitäten entdeckt, sollte umgehend Paypal kontaktieren und gegebenenfalls bei der örtlichen Polizei oder der Web-Wache seines jeweiligen Bundeslandes Anzeige gegen Unbekannt stellen. „Dazu sind dann Screenshots und das Abspeichern von Kontoauszügen sinnvoll“, so Knop.
BSI empfiehlt den Einsatz von Passwortmanagern
Grundsätzlich wichtig: Ein einmal vergebenes Passwort sollten Verbraucher nicht erneut für einen oder mehrere andere Dienste verwenden – sonst ist es Angreifern ein Leichtes, mit einem Handstreich gleich mehrere Konten zu übernehmen.
Weil sich niemand Dutzende komplizierte Passwörter merken kann, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Passwortmanagern. Alternativ dazu kann man auch mithilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein – die Methode dahinter erläutert das BSI auf seiner Website.
Die Zukunft könnte den sogenannten Passkeys gehören: Sie ermöglichen passwortloses Anmelden über ein kryptografisches Schlüsselpaar. Passkeys können nicht einfach erbeutet, gestohlen oder erraten werden. Sie können auch nicht vergessen werden oder zu schwach sein, weil sie automatisch generiert werden.
So funktionieren Passkeys: Der jeweilige Dienst fragt zur Anmeldung einen beim Nutzer gespeicherten Kryptoschlüssel ab. Die Abfrage muss meist noch freigegeben werden – zum Beispiel bequem per Fingerabdruck. Dann erfolgt der Abgleich mit dem Gegenstück des privaten Schlüssels: dem öffentlichen Kryptoschlüssel, der beim jeweiligen Dienst liegt.
Speichern kann man seine Passkeys auf einem Sicherheits-USB-Stick (FIDO2), in einem (mobilen) Betriebssystem wie Android, iOS/MacOS oder Windows oder in einem kompatiblen Passwortmanager, wobei letztere Variante eine universelle und unabhängige Lösung darstellt.
dpa/gub