23 fev PayPal notifica clientes afetados por vazamento de dados
O PayPal notificou clientes afetados por um incidente de segurança que expôs informações pessoais sensíveis, incluindo números de Seguro Social, equivalente ao CPF nos Estados Unidos, por quase seis meses.
O problema foi identificado em 12 de dezembro de 2025 e estava relacionado a um erro no aplicativo de empréstimos PayPal Working Capital (PPWC), voltado para pequenas empresas que precisam de acesso rápido a financiamento.
Segundo a empresa, os dados ficaram expostos a pessoas não autorizadas entre 1º de julho e 13 de dezembro de 2025. Na carta enviada aos clientes afetados, o PayPal detalha que as informações comprometidas incluem nome, endereço de e-mail, telefone, endereço comercial, número de Seguro Social e data de nascimento.
O que causou o vazamento
De acordo com o PayPal, o incidente foi causado por uma alteração no código do aplicativo PPWC. A empresa reverteu a mudança um dia após a descoberta, bloqueando o acesso não autorizado aos dados. A companhia também informou que não houve atraso na notificação por conta de investigações policiais.
“Em 12 de dezembro de 2025, o PayPal identificou que, devido a um erro em seu aplicativo de empréstimos PayPal Working Capital, as informações pessoais de um pequeno número de clientes foram expostas a pessoas não autorizadas”, diz o comunicado oficial enviado às vítimas.
Transações não autorizadas e senhas redefinidas
Além da exposição dos dados, um pequeno grupo de clientes também registrou transações não autorizadas em suas contas como consequência direta do incidente. O PayPal afirma ter emitido reembolsos a todos os afetados por cobranças indevidas.
Como medida de contenção, a empresa redefiniu as senhas de todas as contas impactadas. Usuários que ainda não trocaram suas credenciais serão solicitados a criar uma nova senha no próximo acesso à plataforma.
O que o PayPal está oferecendo às vítimas
A empresa está oferecendo dois anos de monitoramento de crédito gratuito e serviços de restauração de identidade por meio da Equifax, empresa norte-americana de crédito. Para receber o benefício, os clientes afetados precisam se inscrever até 30 de junho de 2026.
O PayPal também recomenda que os usuários revisem seus extratos e relatórios de crédito com frequência e fiquem atentos a qualquer atividade suspeita. A empresa lembrou que jamais solicita senhas, códigos de verificação ou outros fatores de autenticação por telefone, SMS ou e-mai, prática comum em golpes de phishing que costumam surgir após vazamentos.
Não é a primeira vez
Este não é o primeiro incidente de segurança envolvendo o PayPal nos últimos anos. Em janeiro de 2023, a empresa notificou clientes sobre uma violação de dados causada por um ataque de credential stuffing, quando criminosos usam combinações de login e senha vazadas de outros serviços para acessar contas em massa.
O ataque comprometeu cerca de 35 mil contas entre os dias 6 e 8 de dezembro de 2022.
Dois anos depois, em janeiro de 2025, o estado de Nova York anunciou um acordo de US$ 2 milhões com a empresa, relacionado ao descumprimento de regulamentações de cibersegurança que teriam contribuído para o episódio de 2022.
Escala menor do que parecia
Após a publicação das primeiras notícias sobre o caso, um porta-voz do PayPal confirmou ao BleepingComputer que os sistemas da empresa não foram comprometidos diretamente, e que o número de clientes afetados é de aproximadamente 100 pessoas.
“Quando há uma potencial exposição de informações de clientes, o PayPal é obrigado a notificar os clientes afetados”, disse o porta-voz. “Neste caso, os sistemas do PayPal não foram comprometidos. Entramos em contato com os aproximadamente 100 clientes que foram potencialmente impactados para fornecer informações sobre o ocorrido.”
Para ficar por dentro de incidentes de segurança como esse, acompanhe o TecMundo nas redes sociais e no YouTube. Se quiser receber mais notícias de tecnologia e cibersegurança diretamente no seu e-mail, assine nossa newsletter!