PayPalはPayPal Working Capital(PPWC)ローン申請の顧客に影響を与えるデータ漏洩を公開しました。ソフトウェアコーディングエラーにより、機密の個人識別情報(PII)がほぼ6ヶ月間にわたって権限のない者に曝露されました。
2025年12月12日に特定されたこの漏洩により、2025年7月1日から2025年12月13日までの間、約165日間にわたる顧客データへの不正アクセスが発生しました。
フィンテック大手は、事件を発見してから2ヶ月以上経った2026年2月10日付で、影響を受けた顧客に正式なデータ漏洩通知書を発行しました。
PayPalは、問題を特定してから1日後の2025年12月13日に誤ったコード変更をロールバックし、不正アクセスを効果的に終了させたと述べました。同社は、法執行機関の調査が影響を受けたユーザーへの通知遅延の原因でないことを確認しました。
漏洩した情報には、事業用連絡先と機密の身元情報の高価値な組み合わせが含まれています。
影響を受けた顧客は、氏名、メールアドレス、電話番号、事業所住所が、社会保障番号(SSN)および生年月日の詳細とともに曝露された可能性があり、これは身元盗用、アカウント乗っ取り、標的型ソーシャルエンジニアリング攻撃を可能にするのに十分な情報です。
PayPalのPPWC製品は小規模企業向けに設計されており、マーチャント融資への迅速なアクセスを提供しています。つまり、この漏洩はプラットフォームを通じて運転資金ローンに申し込んだ事業所有者と個人事業主に不均衡な影響を与えました。
影響を受けた顧客の一部は、曝露の直接的な結果としてアカウント上の不正な取引を報告しており、PayPalは影響を受けたすべてのアカウントのパスワードをリセットする一方で、影響を受けた人々に払い戻しを発行したことを確認しました。
発見後、PayPalは不正アクセスを終了し、アカウントパスワードをリセットし、現在は2026年6月30日までの登録を条件として、すべての影響を受けた顧客にEquifax Complete Premierを通じて2年間の無料3社信用監視および身元復帰サービスを提供しています。
監視パッケージには、毎日のEquifax信用報告へのアクセス、メール通知付き3社監視、SSNおよび金融口座番号のダークウェブアラート、自動詐欺アラート、および最大100万ドルの身元盗用保険カバレッジが含まれています。影響を受けたユーザーは、提供された一意のアクティベーションコードを使用してEquifaxに登録する必要があります。
この事件は、PayPalの2023年1月のデータ漏洩(認証情報の詰め込みにより35,000アカウントが被害)と、2025年1月のニューヨーク州金融サービス局との200万ドルの和解(サイバーセキュリティ規制違反)に続くものです。
翻訳元: https://cyberpress.org/paypal-data-breach/