Hacker rao bán gần 16 triệu tài khoản PayPal trên dark web, giá chỉ 750 USD

PayPal là một trong những nền tảng thanh toán trực tuyến phổ biến nhất thế giới, với hàng trăm triệu người dùng và xử lý hàng tỷ giao dịch mỗi năm. Chính vì vậy, việc xuất hiện thông tin cho rằng dữ liệu đăng nhập của hàng triệu tài khoản PayPal đang bị rao bán công khai trên chợ đen mạng (dark web) đã gây ra sự hoang mang và lo lắng rất lớn.

Theo nhiều trang an ninh mạng quốc tế như Hackread và Cybernews, một kho dữ liệu mang tên “Global PayPal Credential Dump 2025” đã được phát hiện trên dark web. Kho này được cho là chứa địa chỉ email và mật khẩu ở dạng văn bản thô (plaintext) của khoảng 15,8 triệu tài khoản PayPal trên toàn cầu.

Điều đáng chú ý là kẻ rao bán dữ liệu không chỉ dừng lại ở thông tin đăng nhập. Hắn còn khẳng định nắm giữ các endpoint đặc thù của từng người dùng, cho phép tự động hóa quá trình đăng nhập và thậm chí lợi dụng để khai thác các dịch vụ khác liên quan đến PayPal. Toàn bộ dữ liệu có dung lượng khoảng 1,1 GB và được rao bán với mức giá 750 USD – một con số quá nhỏ nếu so với giá trị tiềm ẩn của thông tin nhạy cảm này.

Nhiều chuyên gia đánh giá, nếu bộ dữ liệu trên thực sự hợp lệ, nó có thể được sử dụng để thực hiện hàng loạt hành vi tấn công nghiêm trọng, từ chiếm đoạt tài khoản, rút tiền trái phép, cho đến triển khai các chiến dịch lừa đảo (phishing) nhắm vào hàng triệu nạn nhân trên toàn thế giới.

Trong phản hồi gửi tới Cybernews, đại diện PayPal đã giảm nhẹ mức độ nghiêm trọng của vụ việc. Công ty khẳng định kho dữ liệu được rao bán không bắt nguồn từ một vụ rò rỉ mới, mà nhiều khả năng liên quan đến sự cố an ninh mạng từng xảy ra vào năm 2022.

Thời điểm đó, PayPal phải đối mặt với một cuộc tấn công mang tính chất credential-stuffing, tức hacker sử dụng các email và mật khẩu bị rò rỉ từ những nền tảng khác để thử đăng nhập vào PayPal. Sự việc đã ảnh hưởng đến hàng chục nghìn người dùng. Đến tháng 1/2025, PayPal đã chấp nhận nộp phạt 2 triệu USD cho cơ quan quản lý tại Mỹ, sau khi bị xác định chưa có biện pháp đủ mạnh để kiểm soát quyền truy cập và bảo vệ dữ liệu cá nhân của người dùng như số điện thoại, địa chỉ, email hay số an sinh xã hội.

Tuy nhiên, kẻ rao bán bộ dữ liệu trên dark web lại phủ nhận tuyên bố từ PayPal. Hắn khẳng định dữ liệu này có được từ một sự cố mới xảy ra vào tháng 5/2025, hoàn toàn không liên quan đến sự cố năm 2022. Đáng chú ý, cho tới nay PayPal chưa từng công bố bất kỳ lỗ hổng bảo mật hay vụ tấn công nào trong khoảng thời gian nói trên. Điều này khiến giới quan sát đặt ra giả thuyết rằng, nếu dữ liệu thực sự hợp lệ, rất có thể nó đã bị thu thập thông qua malware đánh cắp thông tin (infostealer) cài vào máy tính của người dùng.

Trong khi đó, hiện vẫn không thể xác minh tính xác thực của bộ dữ liệu mà không trực tiếp mua và kiểm tra. Tuy nhiên, việc một kho dữ liệu khổng lồ chứa hàng triệu thông tin đăng nhập PayPal được rao bán công khai đã đủ để làm dấy lên nỗi lo lớn trong cộng đồng người dùng Internet.

Các chuyên gia bảo mật nhấn mạnh rằng người dùng PayPal không nên chủ quan, bởi ngay cả khi kho dữ liệu xuất phát từ một vụ tấn công cũ, nguy cơ vẫn còn rất cao. Bởi lẽ, nhiều người thường có thói quen tái sử dụng mật khẩu cho nhiều dịch vụ khác nhau, và nếu email – mật khẩu bị rò rỉ đã từng được dùng trên PayPal, nguy cơ bị chiếm đoạt tài khoản là hoàn toàn có thật.

Ngoài ra, tin tặc có thể dùng dữ liệu này để gửi email lừa đảo, giả mạo thông báo từ PayPal nhằm đánh cắp thêm thông tin nhạy cảm như mã xác thực, số thẻ ngân hàng, hoặc trực tiếp chiếm đoạt tiền trong tài khoản người dùng.

Để giảm thiểu nguy cơ, chuyên gia an ninh mạng khuyến nghị:

• Người dùng nên đổi ngay mật khẩu PayPal, đặc biệt nếu đã lâu không cập nhật.
• Không sử dụng lại mật khẩu từng dùng ở các dịch vụ khác.
• Kích hoạt xác thực đa yếu tố (MFA), chẳng hạn xác thực qua ứng dụng hoặc SMS.
• Theo dõi sát sao các giao dịch trong tài khoản PayPal và ngân hàng liên kết.
• Luôn cảnh giác với email, tin nhắn đáng ngờ mạo danh PayPal hoặc ngân hàng.

Thực tế, PayPal không phải cái tên duy nhất liên tục trở thành mục tiêu của hacker. Các nền tảng tài chính trực tuyến nói chung luôn nằm trong “tầm ngắm” vì giá trị dữ liệu mà chúng nắm giữ. Những vụ rò rỉ như thế này là lời nhắc nhở rõ ràng rằng an ninh mạng cá nhân phải luôn được đặt lên hàng đầu, đặc biệt trong bối cảnh tội phạm mạng ngày càng tinh vi.

Tính đến hiện tại, chưa thể khẳng định liệu bộ dữ liệu “Global PayPal Credential Dump 2025” có hoàn toàn hợp lệ hay chỉ là chiêu trò nhằm trục lợi. Nhưng với quy mô lên tới hàng chục triệu tài khoản và mức giá chỉ vài trăm USD, đây chắc chắn là thông tin không thể xem nhẹ. Người dùng PayPal cần chủ động hành động ngay từ bây giờ để bảo vệ tài khoản và tài chính cá nhân trước khi quá muộn.