O caso levantou preocupações porque, se verdadeiro, a fuga de informação poderia permitir acessos diretos a contas, mesmo que protegidas por autenticação multifator. Contudo, a amostra partilhada pelos atacantes é demasiado pequena para validar as alegações e o baixo preço do dataset sugere que a qualidade dos dados poderá ser inferior à anunciada.

Em 2022, o PayPal já tinha enfrentado um ataque de credential stuffing que expôs 35 mil contas, tendo mais tarde aceitado pagar 2 milhões de dólares a reguladores norte-americanos por falhas de conformidade. A empresa reforça que nunca sofreu uma fuga de informação massiva e que a atual publicação parece reproduzir padrões típicos de dados obtidos através de malware do tipo infostealer.

Os infostealers são programas maliciosos que recolhem discretamente dados como palavras-passe, cookies, informações de cartões ou acessos a carteiras digitais. São facilmente adquiridos em fóruns da dark web e têm estado na origem de grandes fugas de informação recentes, incluindo algumas relacionadas com a Snowflake em 2024 e 2025.

Segundo especialistas, se os dados fossem realmente de maio de 2025, já teriam sido em grande parte explorados. A semelhança da estrutura do dataset com registos de infostealers reforça a hipótese de que não se trata de uma fuga de informação direta da PayPal, mas sim de recolha a partir de dispositivos comprometidos.

Apesar da polémica, a empresa assegura que a plataforma continua segura e recomenda-se aos utilizadores que reforcem a proteção das suas contas, adotando palavras-passe fortes, únicas e combinadas com autenticação multifator para minimizar riscos.