Tvrtka za e-trgovinu PayPal potvrdila je kako je greška u kodu jedne od njihovih aplikacija dovela do curenja osjetljivih podataka dijela korisnika, a u nekim je slučajevima rezultirala i lažnim transakcijama. Zbog ovog sigurnosnog propusta, koji je trajao više od pet mjeseci, nekim su korisnicima zabilježene neovlaštene aktivnosti na računima. Iz PayPala navode kako su oštećeni korisnici dobili povrat sredstava, lozinke su im resetirane, a kao mjeru opreza tvrtka nudi dvije godine besplatnog praćenja kreditne sposobnosti putem tvrtke Equifax, prenosi Techradar.
PayPal je nedavno obavijestio dio svojih korisnika o identificiranom propustu u njihovoj aplikaciji za zajmove PayPal Working Capital (PPWC). Riječ je o proizvodu za poslovno financiranje koji kvalificiranim tvrtkama omogućuje dobivanje gotovinskog predujma na temelju njihove povijesti prodaje putem PayPala. Propust je otkriven unutar sustava ove specifične usluge namijenjene poslovnim korisnicima.
Sigurnosni propust, koji je otkriven 12. prosinca 2025. godine, omogućio je curenje osjetljivih podataka tijekom razdoblja dužeg od pet mjeseci, točnije od 1. srpnja do 13. prosinca 2025. godine. Među izloženim podacima nalazili su se iznimno osjetljivi osobni identifikatori, uključujući korisnička imena, adrese e-pošte, telefonske brojeve, poslovne adrese, brojeve socijalnog osiguranja (SSN) i datume rođenja.
Ova kombinacija podataka predstavlja iznimno moćan alat za kibernetičke kriminalce, koji se lako može iskoristiti za napade krađe identiteta, poznatije kao phishing. Slanjem lažnih e-poruka, napadači mogu prevariti korisnike da im odaju svoje pristupne podatke i time dobiju neovlašten pristup ne samo osobnim informacijama, već i financijskim sredstvima na njihovim računima.
Da stvar bude gora, čini se da je sam propust omogućio zlonamjernim akterima izravan pristup tuđim sredstvima. U e-poruci s upozorenjem, kako prenosi TechRadar, PayPal je naveo da je “nekoliko korisnika doživjelo neovlaštene transakcije na svom računu”. Iako nije poznato što točno znači “nekoliko”, tvrtka je naglasila da je neovlašteni pristup ukinut, a žrtvama je nadoknađena šteta. Također su potvrdili da su svim pogođenim korisnicima resetirane lozinke te da je promjena u kodu odgovorna za sigurnosni propust poništena.
Iz PayPala su dodatno istaknuli kako “nisu odgađali ovu obavijest zbog bilo kakve istrage tijela za provedbu zakona”. Tvrtka je svjesna opasnosti koju predstavlja curenje osobnih identifikacijskih podataka (PII), zbog čega su pogođenim korisnicima ponudili dvije godine besplatnih usluga praćenja kreditne sposobnosti i obnove identiteta putem tvrtke Equifax, što je postala uobičajena praksa u ovakvim incidentima.
Na kraju, iz tvrtke su pozvali sve svoje korisnike da ostanu na oprezu prilikom primanja e-poruka te da budu iznimno pažljivi pri otvaranju poveznica ili preuzimanju privitaka, kako bi se zaštitili od mogućih pokušaja prijevare.
