Компания PayPal уведомила клиентов об утечке данных, произошедшей из-за программной ошибки в приложении для выдачи займов. В результате ошибки конфиденциальная личная информация, включая номера социального страхования, была скомпрометирована почти на шесть месяцев в прошлом году.
Инцидент затронул приложение для кредитования PayPal Working Capital (PPWC), которое предоставляет малому бизнесу быстрый доступ к финансированию.
PayPal обнаружила утечку 12 декабря 2025 года и установила, что имена, адреса электронной почты, номера телефонов, адреса компаний, номера социального страхования и даты рождения клиентов были скомпрометированы с 1 июля 2025 года.
Финтех-компания заявила, что отменила изменение кода, вызвавшее инцидент, и заблокировала доступ злоумышленников к данным через день после обнаружения утечки.
«12 декабря 2025 года PayPal выявила, что из-за ошибки в приложении для выдачи займов PayPal Working Capital («PPWC») персональные данные (PII) небольшого числа клиентов были раскрыты неуполномоченным лицам в период с 1 июля 2025 года по 13 декабря 2025 года», — сообщила PayPal в уведомлениях об утечке, отправленных затронутым пользователям.
«С тех пор PayPal откатила изменение кода, ответственное за эту ошибку, которая потенциально привела к раскрытию персональных данных. Мы не задерживали это уведомление в связи с каким-либо расследованием правоохранительных органов».
PayPal также обнаружила несанкционированные транзакции по счетам небольшого числа клиентов в результате инцидента и произвела возмещение средств пострадавшим.
Компания теперь предлагает пострадавшим пользователям два года бесплатного мониторинга кредитной истории по данным трех бюро и услуг по восстановлению личности через Equifax, которые требуют регистрации до 30 июня 2026 года.
Пострадавшим клиентам также рекомендуется отслеживать свои кредитные отчеты и активность по счетам на предмет подозрительных транзакций. PayPal напомнила пользователям, что никогда не запрашивает пароли от учетных записей, одноразовые коды или другие аутентификационные данные по телефону, СМС или электронной почте — это распространенная тактика, используемая в фишинговых атаках, которые часто следуют за сообщениями об утечках данных.
Хотя PayPal еще не раскрыла, сколько клиентов пострадало, компания сбросила пароли для всех затронутых учетных записей и заявила, что пользователям будет предложено создать новые учетные данные при следующем входе, если они еще этого не сделали.
BleepingComputer обратился к представителю PayPal с вопросами об инциденте, но ответ не был получен немедленно.
В январе 2023 года PayPal уведомила клиентов о другой утечке данных после того, как масштабная атака с использованием украденных учетных данных скомпрометировала 35 000 учетных записей в период с 6 по 8 декабря 2022 года.
Два года спустя, в январе 2025 года, штат Нью-Йорк объявил о мировом соглашении с PayPal на сумму 2 000 000 долларов США по обвинениям в несоблюдении правил кибербезопасности штата, что привело к утечке данных в 2022 году.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
