2 月 20 日消息,据 BleepingComputer 今日报道,PayPal 正就一起严重数据泄露事件通知用户:由于其贷款 App 中的一个 Bug,去年近六个月内用户的敏感个人信息(包括社会安全号码)遭到暴露。
此次事件中的 PayPal 营运资金贷款应用(PPWC)主要为小微企业提供快速融资服务。PayPal 于 2025 年 12 月 12 日发现漏洞,确认自 2025 年 7 月 1 日起,客户姓名、电子邮箱、电话号码、企业地址、社会安全号码及出生日期等信息均处于暴露状态。
该公司表示已撤销导致该事件的代码变更,并在发现漏洞次日阻断了攻击者访问通道。
“2025 年 12 月 12 日,PayPal 确认因 PPWC 贷款应用中的错误,少量客户的个人身份信息在 2025 年 7 月 1 日至 12 月 13 日期间被未授权方获取,我们已回滚引发该错误的代码变更,此次通知未受任何执法调查影响。”
作为事件的直接后果,PayPal 发现少量客户账户出现未授权交易,已向受影响用户退款。
PayPal 建议受影响客户监控信用报告及账户异常交易,并特别提醒:“PayPal 永远不会通过电话、短信或邮件索要账户密码、一次性验证码等认证凭证”—— 这是数据泄露后网络钓鱼攻击的常用手段。
尽管尚未公布具体受影响人数,PayPal 已重置所有相关账户密码。未主动修改密码的用户将在下次登录时被提示更新凭证。
在此之前,2023 年 1 月,PayPal 曾因 2022 年 12 月 6 日至 8 日遭遇大规模撞库攻击致使 35,000 个账户泄露而通知用户。两年后的 2025 年 1 月,纽约州政府以 PayPal 违反网络安全法规导致 2022 年数据泄露为由,对其处以 200 万美元(IT之家注:现汇率约合 1383.2 万元人民币)罚款达成和解。