Globalni servis za internetska plaćanja, PayPal, službeno je potvrdio ozbiljan sigurnosni incident. Zbog kritične pogreške u programskom kodu, osjetljivi podaci dijela korisnika bili su izloženi mjesecima, a propust je u nekoliko slučajeva rezultirao i neovlaštenim financijskim transakcijama, odnosno krađom sredstava.
Tvrtka je nedavno počela obavještavati pogođeni dio svojih klijenata o ranjivosti otkrivenoj unutar platforme PayPal Working Capital (PPWC) – usluge namijenjene poslovnom financiranju koja kvalificiranim tvrtkama nudi predujmove gotovine na temelju njihove povijesti prodaje.
Prema službenom očitovanju tvrtke, sigurnosni propust otkriven je 12. prosinca 2025. godine. Istraga je pokazala da je sustav propuštao podatke više od pet mjeseci, točnije u razdoblju od 1. srpnja do 13. prosinca 2025. godine.
Razmjeri curenja prilično su zabrinjavajući. Među kompromitiranim podacima nalaze se imena i prezimena korisnika, e-mail adrese, brojevi telefona, adrese tvrtki, datumi rođenja te, što je najproblematičnije, brojevi socijalnog osiguranja (SSN). Stručnjaci za sigurnost upozoravaju da je ovakav skup osobnih podataka iznimno opasan jer predstavlja idealan alat za provođenje sofisticiranih phishing napada. Pomoću tih informacija kibernetički kriminalci mogu lako prevariti korisnike, ukrasti im vjerodajnice za prijavu i tako ostvariti izravan pristup njihovim financijama.
Da stvar bude gora, sama greška u kodu omogućila je zlonamjernim akterima izravan pristup tuđim sredstvima. U e-mailu upozorenja, iz PayPala su priznali da je "nekoliko korisnika iskusilo neovlaštene transakcije na svojim računima".
Iako tvrtka nije specificirala točan broj financijski oštećenih klijenata, naglašeno je da je neovlašteni pristup hitno prekinut te da su svim žrtvama u potpunosti nadoknađena ukradena sredstva. Svi pogođeni korisnici morali su obvezno resetirati svoje lozinke, a sporna promjena u kodu koja je omogućila upad u sustav odmah je poništena. Iz PayPala su također jasno poručili kako obavijest korisnicima nije bila odgođena zbog bilo kakve istrage tijela za provođenje zakona.
Svjesni težine situacije i potencijalnih dugoročnih posljedica krađe identiteta, PayPal je oštećenim korisnicima ponudio dvije godine besplatnog praćenja kreditne sposobnosti i usluga obnove identiteta putem agencije Equifax, što je postala standardna praksa u industriji nakon ovakvih incidenata.
Iz tvrtke su zaključno apelirali na sve svoje klijente da ostanu na oprezu, posebno kada je riječ o sumnjivim e-mailovima, te da budu iznimno oprezni prilikom klikanja na poveznice ili preuzimanja privitaka u narednom razdoblju.
