PayPalは、コード変更の失敗により約100人の顧客が個人情報をオンラインで露出したことを通知しており、これらのケースのうちいくつかでは、顧客がアカウントで不正取引を経験しました。
PayPalのスポークスパーソンによると、これらの顧客はすべて全額払い戻されています。
「顧客情報が漏露する可能性がある場合、PayPalは影響を受けた顧客に通知する義務があります」とスポークスパーソンはThe Registerに述べました。「この場合、PayPalのシステムは侵害されていません。したがって、私たちはこの問題について認識を高めるために、影響を受ける可能性のある約100人の顧客に連絡しました。」
影響を受けた顧客に送信され、The Registerに共有された2月10日のデータ侵害通知によると、オンライン決済企業は12月12日に不正なアクティビティを検出しました。これはPayPal Working Capital貸付アプリケーションのコーディングエラーが原因で、2025年7月1日から2025年12月13日の間に、顧客のビジネス連絡先情報(名前、社会保障番号、生年月日、メールアドレス、電話番号、ビジネスアドレスを含む)が不注意に漏洩しました。
「PayPalはその後、このエラーの原因となったコード変更をロールバックしており、個人識別情報(PII)が潜在的に漏露されていました」と書簡に記載されています[PDF]。
漏洩と不正取引に気付くとすぐに、PayPalは調査を開始し、不正アクセスをブロックし、影響を受けたアカウントのパスワードをリセットし、次回ログイン時に新しいパスワードの設定を顧客に要求したとのことです。
「数人の顧客がアカウントで不正取引を経験しており、PayPalはこれらの顧客に払い戻しを発行しています」と通知に記載されています。
同社はまた、影響を受けた顧客に2年間の無料クレジット監視を提供しています。
このデータインシデントは、それより前に発生し、より深刻だった別のPayPal侵害に続くもので、同様に12月に発生し、その際に「不正な第三者」が有効なログイン認証情報を使用して顧客のアカウントにアクセスしていました。
その2022年のセキュリティ上の失態では、35,000人のPayPalユーザーに属する個人情報が漏露され、顧客の名前、住所、社会保障番号、個人税務識別番号、および生年月日が含まれていました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/20/paypal_app_code_error_leak/
