PayPal priznal vážny problém
Spoločnosť PayPal v uplynulom období priznala bezpečnostný incident, pri ktorom došlo k sprístupneniu osobných údajov časti jej zákazníkov. V oficiálnom dokumente spoločnosť píše, že nešlo o klasický hackerský útok na hlavnú platobnú infraštruktúru, ale o problém spôsobený chybou v internom systéme. Konkrétne išlo o nesprávne upravený úsek kódu v aplikácii PayPal Working Capital (PPWC), ktorá slúži na poskytovanie podnikateľských úverov menším firmám.
Táto chyba umožnila neoprávnený prístup k citlivým dátam počas obdobia od 1. júla do 12. decembra 2025. Samotná spoločnosť pritom anomáliu odhalila až 12. decembra. Celá táto udalosť sa tak odohrával niečo vyše pol roka a nikto si nič nevšimol.
Podľa Bleepingcomputer sa incident týkal približne stovky používateľov, ktorí využívali uvedenú úverovú službu. Hoci ide o relatívne malý počet v porovnaní s celkovou používateľskou základňou platformy, charakter uniknutých údajov vyvoláva vážne obavy. Medzi sprístupnené informácie patrili mená a priezviská klientov, ich emailové adresy, telefónne čísla, firemné adresy, dátumy narodenia a v niektorých prípadoch aj čísla sociálneho zabezpečenia (SSN).
Práve kombinácia dátumu narodenia a identifikačného čísla predstavuje významné riziko zneužitia, napríklad pri pokusoch o krádež identity alebo neoprávnené žiadosti o finančné produkty.
Firma promptne reagovala
Spoločnosť uviedla, že po zistení problému okamžite pristúpila k nápravným opatreniam. Chybný kód odstránili a systém vrátili do predchádzajúceho bezpečného stavu. Zároveň bol zablokovaný ďalší prístup k dotknutým údajom a dotknutým používateľom boli resetované prihlasovacie heslá. Pri najbližšom prihlásení museli zvoliť nové prístupové údaje, aby sa minimalizovalo riziko ďalšieho zneužitia. Firma zároveň začala informovať klientov, ktorých sa incident mohol týkať, a poskytla im odporúčania na zvýšenie opatrnosti.
Hoci podľa vyjadrenia spoločnosti neexistujú dôkazy o masovom zneužití dát, u menšieho počtu zákazníkov boli zaznamenané neoprávnené transakcie. Tie mali priamu súvislosť s týmto incidentom a firma deklarovala, že poškodeným klientom finančné prostriedky nahradila.
Okrem toho ponúkla dotknutým osobám dvojročné bezplatné monitorovanie kreditnej histórie a služby na obnovu identity prostredníctvom spoločnosti Equifax. Cieľom tohto kroku je umožniť rýchle zachytenie podozrivých aktivít, ktoré by mohli naznačovať pokus o zneužitie osobných údajov. Dôležité je zdôrazniť, že incident sa netýkal hlavného platobného systému ani neznamenal prelomenie bezpečnostných bariér zvonku. Išlo tak o vnútornú softvérovú chybu, nie o úspešný kybernetický útok.
Spoločnosť zároveň pripomenula, že nikdy nežiada používateľov o heslá, jednorazové overovacie kódy ani iné citlivé údaje prostredníctvom emailu, SMS správ alebo telefonátov. Po zverejnení podobných incidentov totiž často narastá počet podvodných pokusov, ktoré sa snažia zneužiť obavy zákazníkov. V takýchto situáciách si treba zachovať chladnú hlavu, nereagovať pod tlakom a všetko si overiť priamo u spoločnosť.
