O PayPal está notificando seus clientes sobre um vazamento de dados causado por um erro de software em um aplicativo de empréstimos, que expôs informações pessoais sensíveis — incluindo números do Social Security — por quase seis meses no ano passado.
O incidente afetou o PayPal Working Capital (PPWC), aplicativo que oferece financiamentos rápidos para pequenas empresas.
A empresa identificou a violação em 12 de dezembro de 2025 e constatou que nomes, endereços de e-mail, telefones, endereços comerciais, números do Social Security e datas de nascimento dos clientes estavam acessíveis desde 1º de julho de 2025.
Segundo o PayPal, a alteração no código que causou o problema foi revertida um dia após a descoberta, bloqueando o acesso não autorizado aos dados.
“Em 12 de dezembro de 2025, o PayPal identificou que, devido a um erro no aplicativo PayPal Working Capital (‘PPWC’), os dados pessoais identificáveis (PII) de um pequeno número de clientes foram expostos a indivíduos não autorizados entre 1º de julho e 13 de dezembro de 2025”, informou a empresa nas cartas enviadas aos usuários afetados.
“O PayPal já reverteu a alteração no código responsável por esse erro, que potencialmente expôs as informações pessoais.
Esta notificação não foi atrasada por qualquer investigação das autoridades.”
O PayPal também detectou transações não autorizadas em algumas contas relacionadas ao incidente e reembolsou os usuários prejudicados.
Para os clientes afetados, a empresa oferece dois anos de monitoramento gratuito de crédito em três bureaus e serviços de restauração de identidade pela Equifax, mediante cadastro até 30 de junho de 2026.
A companhia recomenda que os usuários fiquem atentos aos relatórios de crédito e monitorem suas contas em busca de movimentações suspeitas.
O PayPal reforça que nunca solicita senhas, códigos únicos ou outras credenciais de autenticação por telefone, mensagem de texto ou e-mail — práticas comuns em ataques de phishing que costumam ocorrer após vazamentos.
Embora o número exato de clientes afetados não tenha sido divulgado, as senhas das contas comprometidas foram resetadas, e ao fazer login, os usuários deverão criar novas credenciais, caso ainda não tenham feito isso.
Em janeiro de 2023, o PayPal comunicou outro vazamento após um ataque de credential stuffing que comprometeu 35 mil contas entre 6 e 8 de dezembro de 2022.
Dois anos antes, em janeiro de 2025, o estado de Nova York firmou um acordo de US$ 2 milhões com o PayPal por descumprimento das regras estaduais de cibersegurança, resultante do vazamento de 2022.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...