Seit Berichte über einen Paypal-Kontenhack durch die Medien gehen, scheint es, dass Banken Lastschriften über Paypal verweigern. Der Dienst hat zumindest einen Hinweis veröffentlicht, dass es "am Wochenende" (16.8.2025) zu "Serviceunterbrechungen" und fehlgeschlagenen Banktransaktionen geführt hat. Ergänzung: Und prompt schlagen auch die Phisher wieder zu.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Angebliches Paypal-Datenleck
Vor einer Woche gab es die Meldung, dass ein Hacker mit Namen Chucky_BF in einem Untergrundforum angeblich 15,8 Millionen Paypal-Zugangsdaten (inklusive der Passwörter im Klartext) zum Kauf angeboten habe. Quelle war folgender Tweet von Hackmanac auf X.
Es wurde dazu aufgefordert, seine PayPal-Zugangsdaten zu ändern, um sich abzusichern. Ich hatte die Meldung gesehen, aber auch den Hinweis von Troy Hunt gelesen. Der sammelt ja geleakte Zugangsdaten auf Have I been pwned und hatte Zugriff auf Stichproben. Troy Hunt schrieb: "Da die Passwörter definitiv nicht im Klartext von PayPal stammen, wurden sie entweder auf andere Weise erlangt (Info-Stealer, Credential Stuffing) oder es gibt eine andere Erklärung für diese Behauptung."
Mein Schluss ist, dass die Zugangsdaten, sofern echt, durch Phishing oder Info-Stealer bei Nutzern abgezogen wurden. Daher hatte ich es nicht im Blog – zumal ich seit dem 12. August 2025 zwangsweise im Notfall-Modus blogge. Die Kollegen von Golem hatten den Sachverhalt aber zum 18. August 2025 im Beitrag Millionen angeblicher Paypal-Zugangsdaten stehen zum Verkauf berichtet. Die Geschichte verunsicherte PayPal-Nutzer, so dass selbst die Verbraucherzentrale mit diesem Artikel Ratschläge zum Verhalten veröffentlichte. Auch vom NDR gab es in diesem Artikel Ratschläge, vom Passwort-Wechsel bis hin zur 2-Faktor-Authentifizierung.
Banken stoppen Zahlungen
Am vergangenen Wochenende scheinen einige Banken wohl die Reißleine gezogen zu haben und unterbanden Zahlungen, die über PayPal von Bankkonten eingezogen werden sollten. Ich habe zum 27. August 2025 auf der PayPal-Hilfeseite geschaut und fand nachfolgende Meldung.
PayPal teilt dort mit, dass es am "Wochenende" (ab 16. August 2025) zu einer vorübergehenden Serviceunterbrechung gekommen sei. Das habe möglicherweise zu einer "fehlgeschlagenen Banktransaktion für einige Konten geführt". Von PayPal heißt es aber, dass dieses Problem inzwischen behoben wurde.
Zum obigen Fall kann ich nicht sagen, aber generell scheint die Zahlungskette nicht immer zu funktionieren. Mir ist im Mai 2025 ein Fall passiert, wo ich eine booking.com-Buchung über PayPal abwickeln wollte. Sah alles gut aus, Bankkonto wies genügend Deckung auf, und bisher hatten ähnliche Transaktionen immer funktioniert. Plötzlich erhielt ich die Booking-Meldung, dass die Transaktion über PayPal nicht funktioniert habe und ich den Betrag anders begleichen möge. Habe, auch wegen Betrugsfällen, auf diese Option verzichtet und eine automatische, kostenlose Stornierung in Anspruch genommen.
Jedenfalls scheint die vorübergehenden Serviceunterbrechung am letzten Wochenende für mächtig Wirbel gesorgt zu haben. Die Seite nt-v berichtete zum 27. August 2025 (habe ich am gestrigen Mittwoch, beim Schreiben des Beitrags gesehen), dass beim US-Konzern "das Sicherheitssystem" ausfiel, so dass viele Banken Paypal-Lastschriften in Milliardenhöhe stoppten. Das Medium bezieht sich auf einen Artikel der Süddeutsche Zeitung.
Es heißt, dass sich der eingefrorene Betrag auf mehr als zehn Milliarden Euro summiert. Bei der Bayerische Landesbank sollen rund vier Milliarden Euro blockiert worden sein. Auch die DZ Bank und andere Geldhäuser stoppten Paypal-Transaktionen. Vom Deutsche Sparkassen- und Giroverband (DGSV) heißt es, dass es bereits in den vergangenen Tagen zu Vorfällen mittels unberechtigter Lastschriften von Paypal gegenüber verschiedenen Kreditinstituten gekommen sei.
Das Ganze hatte erhebliche Auswirkungen auf den europäischen Zahlungsverkehr. n-tv schreibt, dass dies am vergangenen Montag (25.8.2025) für einige Stunden für Kunden von Instituten der Sparkassen-Finanzgruppe zu spüren gewesen sei – es gab keine PayPal-Zahlungen.
Mal abwarten, ob der Zahlungsdienst Wero der Banken Fahrt aufnehmen kann. Dann ließe sich PayPal ablösen. Ich selbst nutze PayPal nur sehr selektiv, daher ist mir nichts aufgefallen. War jemand aus der Leserschaft betroffen?
Warnung vor PayPal Phishing-Mails
Im Nachgang musste ich feststellen, dass plötzlich eine PayPal Phishing-Mail den Spam-Filter von 1&1 durchschlagen hat.
Klingt natürlich dramatisch – da soll jemand an meinem Konto bei PayPal herum schrauben. Gut, die "Schützen Sie Ihr Konto"-URL sieht mit scanned[.]page irgendwie so gar nicht nach PayPal aus. Die verlinkte Zielseite schaut "überzeugend" nach PayPal-Anmeldung aus – allerdings wirkt die URL dann doch etwas befremdlich.
Also "Finger weg", das ist reinstes Phishing, bei der die PayPal-Anmeldedaten abgezogen werden sollen.
MVP: 2013 – 2016
Keine Probleme mit Paypal Zahlungen, auch keine Auffälligkeiten im Account und keine unberechtigte Abbuchungen. Allerdings auch Paypal mit 2FA aktiviert.
Geldgeschäfte ohne 2FA? Ein NoGo!
Banking läuft ansonsten über StarMoney HBCI/FinTS mit nem ReinerSCT Cardreader/Reiner SCT Authenticator… Handy? abolutes NoGo! Safety first, convenience second!
Scheint also nicht grundsätzlich alles geblockt zu werden von den Banken, oder Paypal hat die Probleme schon beseitigt. Am besagten WE hatte ich keine Zahlungen über Papypal getätigt.
Die geklaute Datenbank ist aber ja mal nen richtiges "Schnäppchen" ;-P muss man glatt nachdenken.
Betr. "Allerdings auch Paypal mit 2FA aktiviert.":
Echtes 2FA? https://www.paypal.com/de/webapps/mpp/psd2-biz schweigt sich zur technischen Realisierung der nach PSD2 neu geforderten Strong Customer Authentication (SCA) z. B. mit ReinerSCT-Geräten aus. Haben Sie da allfällig einen weiterführenden Link?
Hat sich erledigt. Nach "Auf einem Mac- oder Linux-Rechner können Sie das Upgrade nicht durchführen. Sie benötigen dazu einmalig einen PC mit Windows-Betriebssystem." (1) ist das Interesse an Reiner SCT erst einmal verflogen. Krass auch (2) wonach die Geräte nur über einen anbieterproprietären Server zeitsynchronisiert werden können.
_
(1) https://www.reiner-sct.com/images/kurzanleitung_1980x1080_chiptan_upgrade.pdf
(2) https://www.reiner-sct.de/sync
Paypal macht 2FA über einschlägige Authenticator-Apps. Kannst auch Keepass dafür verwenden.
Mir ist nur aufgefallen, dass ich mit Ente Auth gescheitert bin. Das Teil hat zwar die OTP-Codes fleißig generiert – ich bekam aber von PayPal ständig ungültiger Code. Erst als ich auf den Google Authenticator auswich (was ich eigentlich vermeiden wollte), klappte 2FA auf Anhieb.
Ich nutze winauth auf Windows. Das braucht keine Installation und ist Portable. Nur den USB Stick nicht liegen lassen.
https://winauth.github.io/winauth/download.html
"2FAS Auth" kann auch Paypal, kostet nichts, ist klein und erstellt Backups (iOS)
Aber dafür kann ich mir kein Apple-Dingens kaufen – egal wie klein 2FAS Auth sein mag und auch wenn es nichts kostet ;-).
Bei fdroid.org gibt es mehrere Authenticator ohne Google. KeePassXC kann das auch.
Ich muss es mir anschauen. Hatte halt auf Ente Authenticator als Open Source gehofft.
Proprietäre Software wie Google und Microsoft Authenticator sollten eigentlich ein Nogo sein.
Ich nutze Aegis Authenicator auf Android-Geräten um mich über Windows einzuloggen und habe bei insgesamt 12 Accounts, darunter Amazon, Paypal, Google, GMX und Posteo noch nie ein Problem gehabt.
Mit YubiKeys und dem Yubico Authenticator funktioniert es. Ebenso über die OTP-Funktion von KeePassXC.
Strong Customer Authentication (SCA) ist nur erreichbar wenn Banking App und Authenticator App auf zwei verschiedenen Geräten laufen – Ausschlussgrund. Nur hardware-based Tokens interessieren!
Der gute 2fa oder ist es dann doch auch nur ein sessions token, der geklaut werden kann. aber ja 2fa ^^. Meine Güte.
Ich hatte bis vor etwa drei Jahren ein Paypalkonto. Seit dem liegt es brach.
Welche Bank ich damals angegeben habe weiß ich nicht mehr. Die damals angegebene Emailadresse und Telefonnummer habe ich nicht mehr.
Wie bekommt man jetzt raus ob man betroffen ist?
Support kontaktieren… oder warten ob jemand dein Konto leerräumt ;-p
Da es aber so ausschaut als ob die Daten ja nicht bei Paypal abgegriffen wurden, und du es die letzten Jahren nicht benutzt hast, kann es ja kaum wo anderes abgegriffen worden sein. Das geht ja nur wenn du es nutzt.
Hier kamen heute Früh PayPal Mails an mit angeblich Konto nicht gedeckt. Was natürlich nicht stimmt. Problem ist also wohl weiterhin nicht (vollständig) gelöst.
Habe ich heute(!) auch bekommen. Mail ist authentisch, und ein Einloggen mit manuell eingetippter URL ;) zeigt auch das "Ihre Bank hat Ihre Überweisung abgelehnt". Am gleichen Tag (hier 25.8.) gab es aber trotzdem Kontoabbuchungen von Paypal, die Referenzbank ist hier aber die DKB.
TOTP 2FAs mache ich mit QuickAuth auf meiner alten Pebble Watch, sollte noch jemand an seiner Pebble hängen ;)
Koinzidenz oder Korrelation? Die DKB war gestern Nacht im Wartungsmodus, heute morgen ging der Login nicht, und nun ist sie wieder im Wartungsmodus…
Ich vermute Koinzidenz, aber so kann ich nicht Mal mein PayPal-Konto ausgleichen… :/
Ist bei PayPal nicht standardmäßig die 2-Faktor-Authentifizierung erforderlich? Kann sein, das PayPal mich nicht mag, weil ich seine Cookies immer gleich wegputzen lasse – ich jedenfalls kann keinen noch so kleinen Betrag zahlen, ohne dass ich das telefonisch bestätigen muss: Wenn es gut geht, kommt ein deutschsprachiger Anruf, der von mir einen Zahlencode will, den ich aus dem Browserfenster ins Telefon tippen muss. Wenn ich Pech habe, ist die amerikanische Gretel dran, die mit dünner Stimme, aber militärischem Tempo diktiert „Hellou, PayPal rufend. Your security code is zerozerofoureightninefourseventhree." Wenn man da nicht sofort flott mittippt, scheitert das Ganze. – Oder es scheitert, weil das PayPal-Fenster endlos bei „Die Sicherheitsüberprüfung wird durchgeführt" verharrt.
Da der Support ebenfalls nur mit ähnlichen Hürden zu erreichen ist, verwende ich PayPal bloß noch im Notfall. Aber bei DHL kann man ja inzwischen ohne PayPal keine Online-Frankierung mehr bezahlen!
– Wird Zeit, dass das System mal deutlich gegen die Wand fährt, bevor alle sich blindlings davon abhängig gemacht haben.
auf der Seite der DHL Onlinefrankierung ist grundsätzlich angegeben:
-Paypal
-ApplePay
-GooglePay
-Visa Kreditkarte
-Mastercard Kreditkarte
-AMEX Kreditkarte
-SEPA (Lastschrift?)
beim eigentlichen bezahlen fehlt:
-ApplePay
-SEPA (Lastschrift?)
Das ist aber immer noch mehr als "nur Paypal"
Das wechselt scheinbar nach mir nicht ersichtlichen Kriterien: Unlängst jedenfalls war es ausschließlich PayPal und meinetwegen sowas wie GooglePay (was ich erst recht nicht als gängige Zahlungsmethode typischer privater Päckchen-Versender ansehe).
Kreditkartenzahlung, definitiv, war da gerade nicht verfügbar – was mich nicht mal wunderte, nachdem damit kurz vor Weihnachten offenbar wegen Überlastung rein gar nichts ging: Man konnte damals zwar Kreditkartendaten eingeben, der Zahlungsvorgang brach aber regelmäßig mit einer Fehlermeldung ab.
Lastschrift ginge vielleicht ab einem höheren Betrag, oder wenn man aus einen Kundenkonto heraus agiert, aber im Normalfall? Nö, da zahlt DHL lieber Provision an US-Dienstleister.
– Es gab und gibt durchaus ein paar in Deutschland etablierte Methoden, Zahlungen auf Distanz auszuführen. Indem aber ausgerechnet die großen Akteure wie Post oder Bahn sie boykottieren, treiben sie die Leute in die Fänge der Datenkraken.
ok, dass das dynamisch ist war mir neu und ist natürlich no go.
Ja ich war auch betroffen. Am 25.08.2025 gegen 03:00 Uhr erhielt ich von Paypal eine E-Mail, dass eine Zahlung von der Bank verweigert wurde und für die Zahlung ein Guthaben aus einer Erstattung verwendet wurde. Ich konnte mir um 06:00 Uhr in der früh nicht erklären, was das sollte. Das Konto war gedeckt. Und gegen 09:00 Uhr war eine andere Zahlung anstandslos abgebucht worden. Ich hielt das für einen Paypal-Systemfehler und habe es nicht weiter beachtet. Jetzt weiß ich warum. Ich bin bei der Sparkassengruppe Kontoinhaber.
ach was…
https://www.deutschlandfunk.de/deutsche-politikerinnen-fordern-europaeische-alternativen-zu-zahlungsdienstleister-paypal-100.html
dann sollen sie sich halt drum kümmern das Wero so aufbohrt wird das man das auch als Paypal-Ersatz nutzen kann, aktuell ist es das nicht!
Es ist Aufgabe der Banken, das breit einsetzbar zu machen. Wenn jeder Online-Händler das zur Bezahlung akzeptiert, wird es (bei entsprechend günstigen Kosten) imho auch genutzt.
Momentan wird der Digitale Euro (D€) entwickelt, der als digitales Zentralbankgeld (wie Bargeld) kostenfrei ist und auch Anonymität beim Bezahlen ermöglichen soll (anders als über Zahlungdienstleister!):
https://www.ecb.europa.eu/euro/digital_euro/html/index.de.html
https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/digitaler-euro
https://de.wikipedia.org/wiki/Digitaler_Euro