Due giorni fa è apparso, su un forum del dark web, un post in cui un threat actor con lo pseudonimo di Chucky_BF sostiene di avere in vendita 15,8 milioni di credenziali PayPal in formato plaintext.

Email e password, apparentemente pronte per essere usate in campagne di credential stuffing o frodi su larga scala, sarebbero offerte per poche centinaia di dollari.

L’accostamento immediato a un “data breach PayPal” è stato inevitabile, ma chi conosce l’architettura dei sistemi di autenticazione sa che questa narrativa non regge.

Il finto “mega-breach” di PayPal e l’illusione delle password in chiaro

PayPal non conserva — né tecnicamente potrebbe farlo — le password dei propri utenti in chiaro.

Le credenziali, come in qualsiasi piattaforma che rispetti i requisiti minimi di sicurezza, vengono sottoposte a funzioni di hashing crittograficamente sicure e protette da meccanismi aggiuntivi come salting e rate limiting.

Pensare a un database PayPal popolato di password leggibili equivale a immaginare un caveau bancario lasciato aperto: semplicemente non esiste.

La spiegazione più plausibile, e in effetti la più coerente con i dettagli circolati, è che il dataset provenga da campagne di infostealer installati su endpoint compromessi. Malware specializzati come RedLine, Raccoon o LummaC2 operano proprio in questo modo: esfiltrano le credenziali direttamente dal browser dell’utente, prima che vengano cifrate o trasmesse.

L’effetto collaterale è un dump in plaintext, arricchito spesso da URL di login e metadati relativi alle sessioni.

La presenza di domini come Gmail, Yahoo o Hotmail nelle liste di account associati è un ulteriore indizio della provenienza malware-based. Non si tratta dunque di un’intrusione nei sistemi core di PayPal, ma di un fenomeno laterale che sfrutta l’anello più debole della catena: i dispositivi degli utenti finali.

Un computer infettato da un infostealer non fa distinzione tra un account social e quello di un wallet digitale: cattura tutto, restituendo ai criminali un pacchetto di credenziali che, rivenduto in massa, diventa merce preziosa per frodi finanziarie e phishing mirato.

Questa distinzione è cruciale. Parlare di “compromissione diretta” di PayPal non è solo impreciso: rischia di alimentare confusione e di minare la fiducia verso le pratiche di sicurezza adottate da piattaforme finanziarie globali.

La distinzione tra data breach effettivo e data leak

Qui la distinzione tra data breach effettivo e data leak derivato da malware di terze parti è essenziale se vogliamo arrivare all’origine della fonte e analizzare le affermazioni del threat actor (che, lo ricordiamo, non opera nè in buona fede nè con buone intenzioni).

Il vero problema, quindi, non è PayPal, ma la persistenza di un ecosistema di utenti che ancora non adottano password manager, non attivano l’autenticazione a due fattori e lasciano i propri endpoint vulnerabili a infostealer diffusi tramite phishing, crack software o bundle malevoli. È un monito che va oltre la singola vicenda: non basta blindare i server centrali se la superficie d’attacco si frammenta in milioni di dispositivi personali.

Credenziali di PayPal in vendita: cosa impariamo

Dunque, l’episodio dimostra una volta di più come l’elemento umano e la sicurezza dell’endpoint restino i punti critici del sistema.

Nessun gigante fintech archivia credenziali in chiaro; ma ogni utente che conserva la propria password in un browser non aggiornato, privo di controlli di integrità, espone non solo sé stesso, ma l’intera catena di fiducia dell’ecosistema digitale.