کمیته رکن چهارم – شرکت PayPal اعلام کرد یک خطای نرمافزاری در سرویس وامدهی PayPal Working Capital (PPWC) باعث شده اطلاعات شخصی حساس برخی مشتریان برای نزدیک به شش ماه در معرض دسترسی غیرمجاز قرار گیرد.
به گزارش کمیته رکن چهارم، این شرکت در ۱۲ دسامبر ۲۰۲۵ متوجه شد که بهدلیل یک تغییر کد در اپلیکیشن درخواست وام، دادههای کاربران از ۱ ژوئیه ۲۰۲۵ در معرض افشا بودهاند. اطلاعات در معرض دسترسی شامل نام، ایمیل، شماره تلفن، نشانی محل کسبوکار، شماره تأمین اجتماعی (SSN) و تاریخ تولد بوده است.
PayPal اعلام کرده بلافاصله پس از شناسایی مشکل، تغییر کد را بازگردانده و ظرف یک روز دسترسی غیرمجاز را مسدود کرده است. این شرکت همچنین تأکید کرده اطلاعرسانی به کاربران بهدلیل تحقیقات نهادهای مجری قانون به تأخیر نیفتاده است.
تراکنشهای غیرمجاز و خدمات جبرانی
به گفته PayPal، در نتیجه مستقیم این رخداد، در حساب تعداد محدودی از مشتریان تراکنشهای غیرمجاز ثبت شده که مبالغ آنها بازپرداخت شده است. این شرکت به کاربران آسیبدیده دو سال خدمات رایگان پایش اعتباری و بازیابی هویت از طریق Equifax ارائه میدهد.
از کاربران خواسته شده گزارشهای اعتباری و فعالیت حسابهای خود را برای هرگونه رفتار مشکوک بهطور منظم بررسی کنند. PayPal نیز یادآوری کرده هرگز از طریق تماس، پیامک یا ایمیل درخواست گذرواژه یا کد یکبارمصرف نمیکند؛ هشداری که معمولاً پس از افشای دادهها برای جلوگیری از موج فیشینگ مطرح میشود.
سابقه حوادث امنیتی
اگرچه تعداد دقیق کاربران آسیبدیده اعلام نشده، PayPal گفته گذرواژه تمام حسابهای تحت تأثیر را بازنشانی کرده است. این رخداد در حالی اتفاق افتاده که این شرکت پیشتر نیز با حوادث امنیتی مواجه بوده؛ از جمله حمله credential stuffing در سال ۲۰۲۲ که حدود ۳۵ هزار حساب را تحت تأثیر قرار داد و در نهایت به جریمه ۲ میلیون دلاری در ایالت نیویورک در سال ۲۰۲۵ منجر شد.
این حادثه بار دیگر نشان میدهد حتی یک خطای داخلی در کدنویسی میتواند بدون نیاز به نفوذ پیچیده، به افشای دادههای بسیار حساس کاربران منجر شود؛ موضوعی که برای سرویسهای مالی آنلاین، تبعات اعتباری و حقوقی جدی به همراه دارد.
