Il "venditore" che ha pubblicato il materiale sostiene di essere in possesso non solo delle credenziali di accesso, ma anche di endpoint specifici per ogni utente, utili per automatizzare i login e sfruttare in maniera fraudolenta ulteriori servizi collegati a PayPal. L’archivio di circa 1,1 GB viene proposto online al prezzo di 750 dollari a chiunque voglia accedervi, attirando così l'attenzione sia degli esperti di sicurezza sia di possibili malintenzionati.
PayPal, dal canto suo, ha minimizzato la vicenda attraverso una dichiarazione rilasciata a Cybernews, escludendo che si tratti di una violazione recente. Secondo l'azienda, i dati proverrebbero dall’attacco di credential stuffing subìto nel 2022, episodio in seguito al quale PayPal, proprio a gennaio 2025, ha dovuto pagare una multa di 2 milioni di dollari alle autorità statunitensi. In quell’occasione, era stato evidenziato come le misure di sicurezza del colosso dei pagamenti non fossero sufficienti a tutelare l’accesso ai dati sensibili degli utenti, come numeri di telefono, email, indirizzi e codici fiscali.
Tuttavia, il venditore del data dump nega fermamente che questi dati provengano da una vecchia violazione, sostenendo invece che il materiale sarebbe frutto di un attacco avvenuto a maggio 2025. Degno di nota è il fatto che PayPal, fino ad ora, non abbia comunicato alcuna nuova violazione per questo periodo. Ciò lascia aperta l'ipotesi che le credenziali possano essere state rubate tramite malware infostealer ancora non individuati.
Warhammer 40,000: Dawn of War 4 Is Finally a Reality — but Its Developer May Surprise You