O eroare în codul aplicației PayPal a dus la scurgerea de informații personale și la tranzacții neautorizate. Informațiile utilizatorilor, expuse timp de 6 luni

PayPal a dezvăluit recent o breșă de securitate care a afectat informațiile personale ale clienților și a dus la tranzacții frauduloase. Scrisorile de notificare trimise persoanelor afectate au arătat că incidentul de securitate cibernetică a fost cauzat de o eroare în aplicația de împrumut PayPal Working Capital (PPWC), potrivit The Register.

Din cauza erorii, informațiile personale ale unui „număr mic de clienți”, potrivit declarațiilor companiei, au fost expuse timp de aproape șase luni, între 1 iulie și 13 decembrie 2025. Informațiile expuse includ nume, adrese de e-mail, date de naștere, numere de telefon și adrese de afaceri, în combinație cu numere de asigurare socială.

PayPal a notificat aproximativ 100 de clienți că informațiile lor personale au fost expuse online în timpul unei modificări de cod care a eșuat. În câteva dintre aceste cazuri, utilizatorii au observat tranzacții neautorizate în conturile lor.

„Atunci când există o potențială expunere a informațiilor clienților, PayPal are obligația de a notifica clienții afectați”, a declarat purtătorul de cuvânt al companiei. „În acest caz, sistemele PayPal nu au fost compromise. Prin urmare, am contactat aproximativ 100 de clienți care ar fi putut fi afectați pentru a-i informa cu privire la această problemă.”

Impactul asupra securității datelor și măsurile de remediere

PayPal a descoperit breșa pe 12 decembrie 2025 și a stabilit că numele clienților, adresele de e-mail, numerele de telefon, adresele de afaceri, numerele de asigurare socială și datele de naștere au fost expuse începând cu 1 iulie 2025. Compania de tehnologie financiară a declarat că a inversat modificarea codului care a cauzat incidentul și a blocat accesul neautorizat la date la o zi după descoperirea vulnerabilității.

„Pe 12 decembrie 2025, PayPal a identificat că, din cauza unei erori în aplicația de împrumut PayPal Working Capital („PPWC”), informațiile personale identificabile ale unui număr mic de clienți au fost expuse unor persoane neautorizate în perioada 1 iulie 2025 – 13 decembrie 2025”, a precizat PayPal în scrisorile de notificare trimise utilizatorilor afectați.

„PayPal a anulat modificarea codului responsabilă de această eroare. Nu am întârziat această notificare ca urmare a vreunei anchete a autorităților de aplicare a legii.”

PayPal a detectat, de asemenea, tranzacții neautorizate în conturile unui număr mic de clienți, ca urmare directă a incidentului, și a emis rambursări către persoanele afectate. Compania oferă acum utilizatorilor afectați doi ani de servicii gratuite de monitorizare a creditelor și de restaurare a identității prin Equifax, care necesită înscrierea până la 30 iunie 2026.

Clienților afectați li se recomandă să își monitorizeze rapoartele de credit și activitatea contului pentru tranzacții suspecte. PayPal a reamintit utilizatorilor că nu solicită niciodată parole de cont, coduri unice sau alte date de autentificare prin telefon, SMS sau e-mail. Aceasta este o tactică obișnuită în atacurile de phishing care urmează adesea după o breșă de securitate.

PayPal a resetat, de asemenea, parolele pentru toate conturile afectate. Utilizatorii vor fi invitați să creeze noi date de acces la următoarea conectare, dacă nu au făcut-o deja.

În ianuarie 2023, PayPal a notificat clienții cu privire la o altă încălcare a datelor, după ce un atac asupra datelor de autentificare a compromis 35.000 de conturi între 6 și 8 decembrie 2022. Doi ani mai târziu, în ianuarie 2025, statul New York a anunțat o înțelegere în valoare de 2.000.000 de dolari cu PayPal pentru acuzațiile că nu a respectat reglementările statului în materie de securitate cibernetică, fapt care a dus la incidentul din 2022.

Te-ar putea interesa și: Tentativă de fraudă cu un link care duce spre o pagină falsă a Formularului Unic de Contact al ANAF