Adatokat loptak a PayPal egyes ügyfeleitől

Adatbiztonsági incidensről értesítette ügyfeleit a PayPal, melynek során egyes áldozatoktól akár pénzt is csapolhattak az illetéktelen elkövetők. A támadás nem a PayPal általános fizetési rendszerén, hanem a PayPal Working Capital (PPWC) hitelalkalmazásán keresztül történt, így a szolgáltatásba regisztrált elsősorban kisvállalati ügyfeleket érintette az adatszivárgás.

A cég tájékoztatása szerint nem a rendszerüket sikerült feltörni, hanem egy belsős fejlesztési és kódolási hiba adott teret annak, hogy rosszindulatú felek tavaly nyáron nevekhez, e-mail címekhez, telefonszámokhoz, születési dátumokhoz, valamint társadalombiztonsági azonosítókhoz szerezhettek jogosulatlan hozzáférést. Ez különösen magas kockázatot jelent identitáslopás szempontjából, hiszen a statikus személyazonosító elemek nehezen módosíthatók.

Az AI erősokszorozó egy rutinos security szakember kezében Az AI nem csak a fejlesztésre van hatással: új sorozatunkban végignézzük, hogyan hat az informatika más részterületeire.

Az utólagos vizsgálat alapján a problémát a PPWC hibás kódot tartalmazó frissítése okozta, így 2025. július elseje óta voltak kiszolgáltatva az adatok. A PayPal csak december 12-én detektálta az illetéktelen behatolást, utána egy nappal később kiadta a szükséges javítást.

A pénzügyi techcég egy nappal a behatolás felfedezése után blokkolta a támadók hozzáférését az adatokhoz, valamint visszaállította az összes érintett fiók jelszavát. A PayPal közleménye alapján mintegy 100 ügyfelet érintett csak az incidens,  de beszámolók szerint néhány ügyfél jelezte, hogy a bankszámláján jogosulatlan tranzakciók zajlottak. A cég utólag visszatérítette ezeket az összegeket.

Nem ez az első kellemetlen biztonsági fiaskója a vállalatnak: 2023 januárjában egy másik adatvédelmi incidens során hitelesítőadatokat sikerült lopni a cég rendszeréből kiterjedt mértékben, mely több mint 35 000 fiók tulajdonosát tette ki veszélynek.