Um simples post num fórum de hackers fez soar os alarmes em todo o mundo digital: alegadamente, estão à venda 15,8 milhões de contas PayPal, incluindo emails de login, passwords em texto simples e até URLs associados. A notícia chega do site Cybernews e, mesmo sem confirmação oficial da empresa, já está a preocupar milhões de utilizadores.
O que os hackers dizem que roubaram
Segundo a publicação, os dados terão sido recolhidos em maio de 2025 e incluem:
- Emails de login
- Passwords em texto simples (sim, sem qualquer encriptação)
- URLs associados às contas
- Variações e repetições de credenciais usadas noutros serviços
Se confirmada, esta fuga representa um risco gigantesco, porque as passwords expostas não se limitam ao PayPal. Assim podem reutilizar-se noutros sites, contas bancárias online ou até emails pessoais.
Porque este caso é especialmente preocupante
Multi-factor não chega: mesmo quem tem autenticação em dois passos pode estar em risco, já que os hackers podem usar os emails e URLs para ataques noutras plataformas.
Automatização dos ataques: a base de dados está organizada de forma a facilitar ataques de “credential stuffing” tentativas automáticas para entrar em múltiplos serviços reutilizando as mesmas credenciais.
Preço baixo no mercado negro: especialistas afirmam que os dados estão a ser vendidos a preços relativamente baixos, o que sugere duas hipóteses: ou muitas passwords são repetidas (menos valiosas), ou parte delas já terá sido explorada em ataques recentes.
Será mesmo uma falha do PayPal?
Até agora, o PayPal não confirmou o ataque. Aliás, a empresa nunca sofreu uma fuga de dados massiva conhecida. Por isso, muitos investigadores suspeitam de outra origem: malware do tipo infostealer.
Este tipo de software malicioso instala-se depois de o utilizador clicar num link ou anexo perigoso, recolhe logins, passwords e dados bancários do browser… e envia tudo para os atacantes. Muitos destes malwares até se apagam sozinhos depois de concluírem a missão, tornando a deteção ainda mais difícil.
Como te podes proteger já do caso dos logins do Paypal
Muda imediatamente a tua password do PayPal e nunca uses a mesma noutros serviços.
Ativa autenticação de dois fatores (2FA) para reforçar a segurança.
Verifica o teu email em sites como Have I Been Pwned para saber se as tuas credenciais se encontram expostas.
Não cliques em links suspeitos ou anexos de emails que não esperavas receber.
Ainda não há confirmação oficial de que os 15,8 milhões de logins sejam reais, mas só o facto de esta informação circular já é motivo suficiente para mudares as tuas passwords e reforçares a tua cibersegurança.
O PayPal pode não ter sido diretamente atacado, mas o risco para os utilizadores é real.
E lembra-te: na internet, basta uma única password reutilizada para abrir a porta errada.
