PayPal уведомляет клиентов об утечке данных после того, как их конфиденциальная личная информация, включая номера социального страхования, была раскрыта из-за ошибки программного обеспечения в заявке на получение кредита в течение примерно 6 месяцев в прошлом году.
Инцидент затронул приложение PayPal для кредитования оборотного капитала (PPWC), которое обеспечивает малым предприятиям быстрый доступ к финансированию.
PayPal обнаружил нарушение 12 декабря 2025 года и установил, что имена клиентов, адреса электронной почты, номера телефонов, рабочие адреса, номера социального страхования и даты рождения были раскрыты, начиная с 1 июля 2025 года.
Финансово-технологическая компания заявила, что отменила изменение кода, вызвавшее инцидент, заблокировав злоумышленникам доступ к данным на следующий день после обнаружения нарушения.
«12 декабря 2025 года PayPal обнаружила, что из-за ошибки в заявке на кредит оборотного капитала PayPal («PPWC») небольшое количество личных данных клиентов было раскрыто неавторизованным лицам в период с 1 июля 2025 года по 13 декабря 2025 года», — говорится в письмах с уведомлением о нарушении, отправленных затронутым пользователям.
«PayPal отозвал изменение кода, ответственное за эту ошибку, которая потенциально раскрывала личные данные. Мы не задерживали это уведомление в результате какого-либо расследования правоохранительных органов».
PayPal также обнаружила несанкционированные транзакции на небольшом количестве счетов клиентов как прямой результат инцидента и выплатила возмещение пострадавшим.
Теперь компания предлагает пострадавшим пользователям два года бесплатного кредитного мониторинга и восстановления личности через три бюро через Equifax, при этом требуется регистрация до 30 июня 2026 года.
Затронутым клиентам рекомендуется отслеживать свои кредитные отчеты и активность своих счетов на предмет подозрительных транзакций. PayPal напомнил пользователям, что он никогда не запрашивает пароли учетных записей, одноразовые коды или другие учетные данные для аутентификации по телефону, текстовым сообщениям или электронной почте — распространенная тактика, используемая в фишинговых атаках, которые часто следуют за раскрытием утечки данных.
PayPal также сбросил пароли для всех затронутых учетных записей и сообщает, что пользователям будет предложено создать новые учетные данные при следующем входе в систему, если они еще этого не сделали.
В январе 2023 года PayPal уведомила клиентов об очередной утечке данных после того, как в период с 6 по 8 декабря 2022 года в результате массовой атаки с подбросом учетных данных были скомпрометированы 35 000 учетных записей.
Два года спустя, в январе 2025 года, штат Нью-Йорк объявил о мировом соглашении с PayPal на сумму 2 000 000 долларов США в связи с обвинениями в несоблюдении правил штата по кибербезопасности, что привело к утечке данных в 2022 году.
Обновлено 20 февраля, 11:38 EST: После публикации статьи представитель PayPal сообщил BleepingComputer, что системы компании не были взломаны и что в результате инцидента были раскрыты данные примерно 100 клиентов.
«В случае потенциального раскрытия информации о клиентах PayPal обязана уведомить затронутых клиентов», — сказал представитель. «В данном случае системы PayPal не были скомпрометированы. Таким образом, мы связались примерно со 100 клиентами, которые потенциально могли быть затронуты, чтобы проинформировать их по этому вопросу».
Современная ИТ-инфраструктура развивается быстрее, чем рабочие процессы, выполняемые вручную.
Из этого нового руководства Tynes вы узнаете, как ваша команда может сократить скрытые задержки, выполняемые вручную, повысить надежность за счет автоматизированных ответов, а также создавать и масштабировать интеллектуальные рабочие процессы на основе инструментов, которые вы уже используете.
