PayPal уведомила клиентов об утечке данных из приложения PayPal Working Capital (PPWC), сервиса быстрого кредитования для малого бизнеса. Из-за ошибки в коде персональные данные пользователей оставались доступны посторонним с 1 июля по 13 декабря 2025 года, около 165 дней. Компания обнаружила проблему 12 декабря, а уведомления пострадавшим разослала лишь 10 февраля 2026 года, спустя два месяца.
Причиной стал не взлом извне, а внутренний сбой: изменение в коде приложения PPWC непреднамеренно открыло доступ к данным для неавторизованных лиц. PayPal откатила проблемный код на следующий день после обнаружения, 13 декабря и заблокировала несанкционированный доступ.
Среди скомпрометированных данных, имена, адреса электронной почты, номера телефонов, адреса компаний, номера социального страхования (SSN) и даты рождения. Для сервиса, ориентированного на малый бизнес, это особенно чувствительный набор: владельцы небольших компаний и индивидуальные предприниматели передавали эти сведения при подаче заявки на кредит.
Читайте также: Adidas снова стала жертвой утечки: Lapsus$ сообщила о взломе экстранета, но масштаб атаки остаётся под вопросом
По информации представителя PayPal, инцидент затронул около 100 клиентов. Компания подчеркнула, что её системы не были скомпрометированы, а утечка произошла исключительно из-за программной ошибки в интерфейсе кредитного приложения. При этом PayPal отдельно указала, что задержка уведомления не связана с запросами правоохранительных органов.
Помимо утечки данных, у небольшой части пострадавших были зафиксированы несанкционированные транзакции, напрямую связанные с инцидентом. PayPal уже оформила возвраты средств по этим операциям. Пароли для всех затронутых аккаунтов сброшены, при следующем входе пользователям предложат создать новые учётные данные.
В качестве компенсации компания предоставляет два года бесплатного мониторинга кредитной истории и услуг по восстановлению личности через Equifax, с охватом всех трёх основных кредитных бюро (Equifax, Experian, TransUnion). Пакет включает ежедневный доступ к кредитному отчёту, уведомления об изменениях и мониторинг утечек номеров SSN в даркнете. Для подключения нужно использовать код активации из уведомления до 30 июня 2026 года.
PayPal также рекомендует клиентам внимательно следить за активностью по счетам, запросить бесплатные кредитные отчёты через AnnualCreditReport.com и при необходимости установить оповещение о мошенничестве или заморозку кредита. Компания напомнила, что никогда не запрашивает пароли, одноразовые коды или другие данные для входа по телефону, SMS или электронной почте, любой подобный запрос следует расценивать как попытку обмана.
Это не первый инцидент с данными у PayPal. В январе 2023 года компания сообщала о компрометации около 35 000 аккаунтов в результате атаки методом подстановки учётных данных. Тогда были раскрыты номера SSN, имена и даты рождения. Нынешний случай отличается тем, что причиной стала не атака извне, а собственный код компании, и данные оставались открытыми значительно дольше.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
