Σύνοψη
- Η PayPal επιβεβαίωσε διαρροή δεδομένων που παρέμεινε ενεργή από την 1η Ιουλίου έως τις 13 Δεκεμβρίου 2025.
- Το πρόβλημα προκλήθηκε από σφάλμα στον κώδικα της εφαρμογής PayPal Working Capital (PPWC).
- Εκτέθηκαν ευαίσθητα προσωπικά και εταιρικά δεδομένα, όπως ονόματα, διευθύνσεις, SSN (αριθμοί κοινωνικής ασφάλισης στις ΗΠΑ) και ημερομηνίες γέννησης.
- Η εταιρεία διόρθωσε τον κώδικα, μηδένισε τους κωδικούς πρόσβασης των επηρεαζόμενων χρηστών και προσφέρει δωρεάν υπηρεσίες προστασίας πιστοληπτικής ικανότητας.
Κρίσιμο σφάλμα κώδικα εξέθεσε δεδομένα χρηστών του PayPal
Η PayPal ανακοίνωσε επίσημα ένα σοβαρό περιστατικό ασφαλείας, το οποίο άφησε εκτεθειμένα ευαίσθητα προσωπικά και επιχειρηματικά δεδομένα πελατών της για διάστημα σχεδόν έξι μηνών. Το συμβάν δεν αποτελεί προϊόν κακόβουλης εισβολής στα κεντρικά συστήματα της εταιρείας, αλλά αποτέλεσμα ενός ελαττωματικού κώδικα (coding error) στη διεπαφή της εφαρμογής PayPal Working Capital (PPWC), η οποία απευθύνεται σε επαγγελματίες και επιχειρήσεις για την παροχή ευέλικτων δανείων.
Η διαρροή των δεδομένων
Το κενό ασφαλείας παρέμεινε ανοιχτό από την 1η Ιουλίου 2025 έως τις 13 Δεκεμβρίου 2025, επιτρέποντας σε μη εξουσιοδοτημένα άτομα να αποκτήσουν πρόσβαση στα δεδομένα. Σύμφωνα με την εταιρεία, αν και ο αριθμός των επηρεαζόμενων χρηστών είναι περιορισμένος, η φύση των πληροφοριών θεωρείται εξαιρετικά κρίσιμη. Εκτέθηκαν δεδομένα όπως: ονοματεπώνυμα, αριθμοί Κοινωνικής Ασφάλισης (SSN), ημερομηνίες γέννησης, διευθύνσεις email, αριθμοί τηλεφώνου και διευθύνσεις επιχειρήσεων.
Η PayPal εντόπισε το πρόβλημα στα μέσα Δεκεμβρίου, προχωρώντας άμεσα στην απόσυρση της ενημέρωσης κώδικα. Παράλληλα, ανίχνευσε μη εξουσιοδοτημένες συναλλαγές σε έναν μικρό αριθμό λογαριασμών, προχωρώντας σε πλήρη επιστροφή χρημάτων και επαναφορά των κωδικών πρόσβασης (password resets) για τους λογαριασμούς που βρέθηκαν σε κίνδυνο.
Για τους Έλληνες χρήστες, επιχειρηματίες και freelancers που διατηρούν επαγγελματικούς λογαριασμούς PayPal, ο κίνδυνος έγκειται πρωτίστως σε στοχευμένες επιθέσεις Phishing. Ακόμη και αν τα SSN αφορούν κυρίως πελάτες στις ΗΠΑ, οι διαρροές email, τηλεφώνων και εταιρικών διευθύνσεων μπορούν να αξιοποιηθούν για πειστικές απάτες κοινωνικής μηχανικής (social engineering). Η εταιρεία συστήνει αυστηρή παρακολούθηση των κινήσεων του λογαριασμού.
Η άποψη του Techgear
Όταν ένας χρηματοοικονομικός κολοσσός του μεγέθους της PayPal αφήνει ένα σφάλμα κώδικα να τρέχει "σιωπηλά" για έξι μήνες, το πρόβλημα δεν είναι το ίδιο το bug, αλλά η έλλειψη ελέγχων ποιότητας και αλγορίθμων ανίχνευσης ασυνήθιστης δραστηριότητας. Οι τελικοί χρήστες οφείλουν να κατανοήσουν ότι τα δεδομένα τους δεν είναι ποτέ απολύτως ασφαλή, ενεργοποιώντας οπωσδήποτε τον Έλεγχο Ταυτότητας Δύο Παραγόντων (2FA) σε κάθε πλατφόρμα συναλλαγών.
