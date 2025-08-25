Un archivio di quasi 16 milioni di account PayPal è stato messo in vendita nel dark web. Gli esperti avvertono: gli utenti devono cambiare subito la password e attivare i sistemi di protezione.

Una fuga di dati senza precedenti ha coinvolto PayPal, una delle piattaforme di pagamento più utilizzate al mondo. Secondo quanto emerso, circa 16 milioni di credenziali sarebbero finite sul dark web, in vendita per poche centinaia di dollari. A lanciare l’allarme è stato il portale Hackmanac, che ha individuato un utente noto come Chucky_BF, pronto a cedere un pacchetto da oltre un gigabyte contenente nomi utente e password rubati.

Gli investigatori chiariscono che non si è trattato di un attacco diretto ai server di PayPal, ma di una raccolta di dati ottenuta tramite malware installati su dispositivi infetti. Ciò significa che i criminali hanno sfruttato software malevoli per catturare le credenziali mentre venivano digitate dagli utenti. Una tecnica meno eclatante ma altrettanto pericolosa, che espone milioni di persone a rischi concreti.

I rischi per chi ha un conto PayPal

Il pericolo principale riguarda l’accesso non autorizzato agli account. Con le credenziali rubate, i criminali possono collegarsi ai conti delle vittime e compiere operazioni fraudolente: trasferire fondi, effettuare acquisti online o rivendere i dati ad altri gruppi di hacker. Visto che PayPal è quasi sempre collegato a carte di credito o conti bancari, l’intrusione potrebbe avere effetti molto gravi sulle finanze personali.

Gli esperti mettono in guardia anche dal fenomeno del credential stuffing, ovvero l’uso della stessa combinazione di email e password su più servizi. In questo scenario, un criminale che ha accesso a un account PayPal può tentare di entrare anche in altri profili online della vittima, moltiplicando i danni possibili. Già diversi casi documentati mostrano come le credenziali rubate vengano sfruttate non solo per rubare denaro, ma anche per prendere possesso di account social, piattaforme di e-commerce o persino servizi aziendali.

Le misure da adottare subito

Le autorità raccomandano agli utenti di cambiare immediatamente la password di PayPal, optando per combinazioni lunghe, uniche e difficili da indovinare. È altrettanto importante attivare l’autenticazione a due fattori, che aggiunge un livello extra di protezione e rende molto più difficile per un intruso accedere all’account anche in possesso delle credenziali. Un’altra minaccia concreta è il phishing, che tende a intensificarsi dopo fughe di dati di questa portata. I truffatori inviano email o SMS che sembrano provenire da PayPal, invitando a cliccare su link fasulli o a fornire ulteriori informazioni sensibili. Messaggi di questo tipo si riconoscono per indirizzi email sospetti, testi con errori e link che non rimandano al sito ufficiale. Inserire i propri dati in quelle pagine significa consegnarli direttamente ai criminali.

Per ridurre i rischi, gli specialisti suggeriscono di accedere a PayPal digitando manualmente l’indirizzo del sito nel browser, senza utilizzare link ricevuti tramite messaggi. È utile anche attivare le notifiche di accesso dall’app, così da ricevere un avviso immediato in caso di attività sospette. Aggiornare periodicamente le password e differenziarle per ogni servizio rimane una regola fondamentale: in questo modo, anche se un set di credenziali viene rubato, non potrà essere riutilizzato altrove.