O PayPal, um dos maiores serviços de pagamentos digitais do mundo, encontra-se no centro de um novo alerta de segurança. Um ator malicioso afirma estar a vender as credenciais de acesso de 15.8 milhões de contas de utilizadores na dark web, um volume de informação que, a confirmar-se, representa um risco significativo para milhões de pessoas.
O pacote de dados, intitulado "Global PayPal Credential Dump 2025", está a ser vendido por 750 dólares (cerca de 690 euros). Segundo informações avançadas por publicações como o Hackread e o Cybernews, que tiveram acesso ao anúncio, a fuga de informação tem um peso total de 1.1 GB e inclui pares de endereços de email e respetivas passwords em texto simples.
Para agravar a situação, o vendedor alega ter também acesso a endpoints específicos dos utilizadores, o que poderia ser explorado para automatizar logins e abusar de outros serviços da plataforma financeira.
A resposta da PayPal
Confrontada com estas alegações, a PayPal minimizou o incidente. Em declarações ao Cybernews, a empresa afirmou que os dados não provêm de uma nova falha de segurança, mas sim de um incidente ocorrido em 2022. Nesse ano, a plataforma foi alvo de um ataque de credential stuffing, uma técnica em que os hackers usam listas de credenciais roubadas de outros serviços para tentar aceder a contas PayPal.
Recorde-se que, em janeiro de 2025, a empresa foi condenada a pagar uma multa de 2 milhões de dólares a reguladores norte-americanos, após ter sido considerado que as suas medidas de segurança eram insuficientes para proteger dados pessoais dos utilizadores.
No entanto, o vendedor contradiz a versão da empresa, negando que os dados sejam antigos e afirmando que a sua origem remonta a um incidente de maio de 2025. A PayPal não divulgou publicamente qualquer falha de segurança nesse período, o que levanta a hipótese de os dados poderem ter sido obtidos através de malware do tipo infostealer, que rouba informações diretamente dos dispositivos das vítimas.
Como proteger a sua conta PayPal
Independentemente da origem dos dados, a situação serve como um alerta importante para todos os utilizadores. A verificação da autenticidade da totalidade do pacote de dados é impossível sem acesso ao mesmo, mas a recomendação é agir preventivamente.
A primeira e mais crucial medida é garantir que utiliza uma password forte e única para a sua conta PayPal. Se não atualiza a sua palavra-passe há algum tempo, esta é a altura ideal para o fazer.
Adicionalmente, é fundamental ativar a autenticação multifator (MFA). Este mecanismo de segurança adiciona uma camada extra de proteção, exigindo um segundo código de verificação (enviado para o seu telemóvel, por exemplo) para além da password, tornando o acesso não autorizado por parte de terceiros muito mais difícil.
Nenhum comentário
Seja o primeiro!