黑客论坛兜售1580万组PayPal明文凭证，或源自信息窃取恶意软件

数据兜售详情

一名使用"Chucky_BF"化名的威胁行为者在网络犯罪论坛发布广告，宣称出售标注为"2025年全球PayPal凭证库"的数据集，声称包含超过1580万组电子邮箱与明文密码的对应记录。该数据集体积达1.1GB，卖家表示泄露账户涵盖多个电子邮件服务商及全球不同地区的用户。

值得注意的是，这些记录不仅包含邮箱密码组合，还附带直接关联PayPal服务的URL链接，包括/signin（登录）、/signup（注册）、/connect（连接）等接口路径以及Android专用URI。这种结构化数据可能降低犯罪分子的自动化登录攻击门槛。

数据特征分析

Hackread.com核查的样本显示：

部分Gmail地址对应密码直接关联PayPal登录页面

同一账户凭证同时出现在网页版和移动端服务中

数据混杂真实账户与测试/伪造记录（被盗数据库典型特征）

卖家声称多数密码强度较高但存在重复使用现象

潜在危害与定价

威胁行为者将数据集标榜为"全球域名的原始邮箱:密码:URL条目"，警告可能引发：

凭证填充攻击（Credential Stuffing）

钓鱼诈骗

欺诈操作

该1.1GB数据包标价750美元，与暗网市场上同类规模凭证库价格持平，通常被意图通过欺诈或转售获利的犯罪集团购买。若属实，这将成为近年涉及Gmail、雅虎、Hotmail及各国域名的最大规模PayPal相关泄露事件之一。

黑客论坛出售所谓PayPal数据的截图（图片来源：Hackread.com）

数据来源推测

PayPal从未发生过攻击者侵入系统窃取海量用户记录的直接数据泄露事件。本次数据更可能源自：

信息窃取恶意软件（Infostealer Malware）从受感染设备收集的登录凭证

样本中出现的PayPal登录URL和移动URI表明，信息可能来自全球受感染用户

恶意软件日志批量窃取的浏览器保存密码和网站活动记录

PayPal官方尚未确认事件真实性，目前无法判断数据是完全真实、真假混合还是旧泄露数据的重新包装。Hackread.com暂未验证数据真伪，本报道将根据公司官方回应更新。