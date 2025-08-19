Un nuovo allarme sicurezza scuote il mondo dei pagamenti digitali, secondo quanto emerso nelle ultime ore quasi 16 milioni di account PayPal sarebbero finiti in vendita sul dark web, con tanto di indirizzi email, password in chiaro e altri dati sensibili; un leak di proporzioni enormi che, se confermato, metterebbe a rischio milioni di utenti in tutto il mondo, Italia compresa.

Milioni di account PayPal esposti, cosa è trapelato è perché è così grave

Il post incriminato è comparso su un noto forum di hacking e, stando a quanto riportato, includerebbe 15,8 milioni di indirizzi email di accesso, password associate in chiaro, URL collegati agli account, varianti e riferimenti a profili collegati.

Il campione pubblicato non è stato sufficiente per una verifica indipendente, ma la mole di dati e la loro natura fanno pensare a una violazione significativa; se confermato, significherebbe che gli aggressori dispongono di tutto il necessario per avviare attacchi mirati di credential stuffing, vale a dire tentativi automatici di accesso ad altri servizi sfruttando le stesse credenziali rubate.

Anche se molti utenti PayPal utilizzano già l’autenticazione a due fattori, la sola esposizione di email e password in chiaro resta estremamente pericolosa, soprattutto laddove quelle credenziali fossero riutilizzate su più piattaforme.

Un aspetto interessante è che PayPal non ha mai subito in passato una violazione di dati su larga scala, ciò porta diversi ricercatori a ipotizzare che i dati in vendita non derivino da un hack diretto ai server PayPal, bensì da campagne di malware infostealer.

Questi software, spesso diffusi tramite link o allegati malevoli, rubano password, dati di navigazione e informazioni di pagamento direttamente dai dispositivi infetti per poi inviarli in background ai server degli attaccanti; alcuni infostealer sono talmente sofisticati da autocancellarsi dopo il furto, lasciando all’utente poche tracce dell’infezione.

Se questa ipotesi fosse confermata, significherebbe che i dati pubblicati risalirebbero a maggio 2025 e che molti di essi potrebbero essere già stati sfruttati in operazioni di phishing e frodi online.

PayPal dal canto suo, nega categoricamente di aver subito un attacco hacker: “Non si è verificata alcuna violazione dei dati: si tratta di un incidente del 2022 e non è una novità“. La società si riferisce a quanto accaduto nel 2022, quando l’azienda subì un attacco di credential stuffing su larga scala che espose 35.000 account.

Ad ogni modo, per non saper né leggere né scrivere, chiunque utilizzi Paypal dovrebbe adottare immediatamente alcune misure di sicurezza preventive, a prescindere dall’effettiva compromissione del proprio account:

cambiare subito la password di PayPal e di qualsiasi altro servizio dove sia stata riutilizzata

attivare l’autenticazione a due fattori

utilizzare un gestore di password per generare credenziali uniche e complesse per ogni servizio

installare e mantenere aggiornato un software antivirus, utile per bloccare eventuali infostealer ancora attivi

abilitare le protezioni del browser e, se possibile, sfruttare gli strumenti aggiuntivi inclusi nella suite di sicurezza come VPN o firewall

Infine, strumenti specifici di protezione dal furto di identità possono aiutare a monitorare la circolazione dei propri dati online e avvisare l’utente in caso di esposizione.

In attesa di eventuali nuove comunicazioni da parte di PayPal, il consiglio è di non sottovalutare l’accaduto, la vendita di dati personali sul dark web non è mai un dettaglio trascurabile e anche solo la possibilità di essere inclusi nel database trapelato giustifica un cambio di password e un rafforzamento delle proprie difese digitali.