O eroare de programare într-o aplicație PayPal a lăsat datele unor clienți expuse și a condus chiar la câteva tranzacții frauduloase, a confirmat compania de plăți online.
PayPal a notificat recent un grup de utilizatori că a identificat un bug în aplicația PayPal Working Capital (PPWC), un produs de finanțare destinat companiilor care oferă avansuri în numerar pe baza istoricului de vânzări prin platformă. Vulnerabilitatea a fost descoperită pe 12 decembrie 2025, însă funcționase nedetectată timp de mai bine de cinci luni, între 1 iulie și 13 decembrie 2025.
În această perioadă, bug-ul a expus o combinație îngrijorătoare de date personale: nume de utilizator, adrese de email, numere de telefon, adrese de afaceri, numere de securitate socială (SSN) și date de naștere. Este exact tipul de informații care poate fi exploatat în atacuri de tip phishing, prin care utilizatorii sunt păcăliți să își divulge credențialele de autentificare și, implicit, accesul la fonduri.
Situația a fost agravată de faptul că eroarea în sine a permis unor actori rău intenționați să acceseze conturile altor persoane. În emailul de avertizare trimis clienților afectați, PayPal a menționat că „câțiva clienți au înregistrat tranzacții neautorizate în conturile lor”.
Numărul exact al victimelor nu a fost precizat public, dar compania a subliniat că accesul neautorizat a fost revocat, că victimele au fost despăgubite și că parolele acestora au fost resetate. Modificarea de cod care a generat vulnerabilitatea a fost de asemenea anulată.
„Nu am întârziat această notificare ca urmare a unei investigații penale”, a precizat PayPal într-o declarație publică. Compania a anunțat totodată că oferă două ani de monitorizare gratuită a creditului și servicii de restaurare a identității prin Equifax, o practică uzuală în astfel de cazuri de expunere a datelor cu caracter personal.
Utilizatorii afectați au fost sfătuiți să rămână vigilenți în fața emailurilor primite și să fie deosebit de precauți atunci când accesează linkuri sau descarcă atașamente.
Incidentul ridică din nou semne de întrebare cu privire la securitatea aplicațiilor financiare și la intervalul de timp scurs între apariția unei vulnerabilități și momentul detectării acesteia — în acest caz, mai mult de cinci luni.
