PayPal divulga vazamento de dados que expôs informações de usuários por 6 meses

 (bleepingcomputer.com)
2 pontos por GN⁺ 2026-02-22 | 1 comentários | Compartilhar no WhatsApp
  • Devido a um erro no sistema de solicitação de empréstimo, informações pessoais sensíveis de clientes ficaram expostas externamente por cerca de 6 meses
  • As informações expostas incluíam nome, e-mail, telefone, endereço comercial, número do Seguro Social e data de nascimento
  • Após descobrir o problema, no dia seguinte a PayPal reverteu a alteração de código para bloquear o acesso e realizou reembolsos por transações não autorizadas em algumas contas
  • A empresa oferece gratuitamente aos clientes afetados 2 anos de monitoramento de crédito e serviço de recuperação de identidade via Equifax
  • A empresa afirmou que não houve comprometimento do sistema e que apenas dados de cerca de 100 clientes foram expostos

Visão geral do vazamento de dados

  • Devido a um erro de software no PayPal Working Capital (aplicativo de empréstimo), informações de clientes ficaram expostas externamente
    • Foi confirmado que o período de exposição foi de 1º de julho de 2025 a 13 de dezembro de 2025
    • As informações expostas incluíam nome, e-mail, telefone, endereço comercial, número do Seguro Social e data de nascimento
  • A PayPal descobriu o problema em 12 de dezembro de 2025 e, no dia seguinte, reverteu a alteração de código para bloquear o acesso
  • A empresa declarou que, devido a esse erro, informações pessoais identificáveis (PII) de um pequeno número de clientes ficaram expostas a acessos não autorizados

Medidas de resposta e proteção ao cliente

  • A PayPal ofereceu reembolso a alguns clientes que sofreram transações não autorizadas
  • Aos clientes afetados, oferece gratuitamente por 2 anos monitoramento nas três principais agências de crédito e serviço de recuperação de identidade da Equifax
    • O prazo final para adesão ao serviço é 30 de junho de 2026
  • A empresa redefiniu as senhas de todas as contas afetadas e exige a criação de novas credenciais no próximo login
  • Recomenda aos clientes monitorar relatórios de crédito e atividades da conta
  • A PayPal reforçou que não solicita senhas nem códigos de autenticação por telefone, SMS ou e-mail

Posição da empresa e explicações adicionais

  • Após a atualização da matéria, um porta-voz da PayPal afirmou que o sistema em si não foi comprometido
    • Os clientes expostos foram cerca de 100, destacando que se tratou de uma exposição causada por erro de código, e não por invasão ao sistema
    • Explicou que “quando há possibilidade de exposição de informações de clientes, existe obrigação legal de notificar”
  • Ou seja, o sistema de segurança foi mantido, mas um defeito no código permitiu que os dados fossem visualizados externamente

Casos semelhantes no passado

  • Em dezembro de 2022, houve um caso em que 35.000 contas foram comprometidas em um ataque de credential stuffing em larga escala
  • Em janeiro de 2025, o governo do estado de Nova York impôs à PayPal um acordo de US$ 2 milhões relacionado a esse incidente
    • Na época, a PayPal foi sancionada por não cumprir regulamentações estaduais de cibersegurança

Resumo da reação da comunidade

  • Alguns usuários questionaram “como os dados vazaram se o sistema não foi comprometido”
  • Como explicação, foi apresentada a analogia de que “o sistema de segurança estava protegido como um cofre, mas a porta ficou aberta por causa de um erro de código
    • Ou seja, o caso é interpretado como uma exposição de informações ao público causada não por hacking, mas por um erro no código de desenvolvimento

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-22
Opiniões do Hacker News
  • Há quase 20 anos, o PayPal pegou US$ 15 meus sem motivo
    Eu tinha comprado um jogo uma vez e deixado o dinheiro restante lá por 6 meses; quando tentei usar no eBay, a conta foi bloqueada imediatamente
    Como exigiram até reconhecimento em cartório de documento, simplesmente desisti. Desde então prometi a mim mesmo “nunca mais usar”, e até hoje não me arrependi nenhuma vez
    Vendo novos incidentes surgirem todos os anos, sinto que aquela decisão foi a correta
    Espero que um dia alguém processe essa empresa por uma quantia enorme e a feche
    • Vi no Reddit, no passado, um post dizendo “o PayPal bloqueou US$ 600 mil meus”
      Depois descobri que era justamente a história do Notch vendendo a versão alfa de Minecraft em seu site pessoal. Na época, realmente parecia golpe
    • Eu achava que empresas não podiam lucrar com dinheiro abandonado
      Normalmente esse dinheiro é transferido para o órgão estadual de bens não reclamados
      Nesse caso, talvez seja menos ganância e mais simples incompetência
    • Eu também tentei criar uma conta no PayPal para arrecadar dinheiro para um presente dos colegas, mas a conta foi bloqueada assim que terminei a autenticação bancária
      Como pediram para eu ligar para o suporte e até enviar um scan do documento, apaguei a conta e substituí por um cartão-presente digital
    • O PayPal tem uma posição monopolista, e quase não existem alternativas reais
  • Houve uma época em que o PayPal era o meio de pagamento mais confiável da internet
    Mas agora ele pode ser substituído por Stripe, Plaid, Google Pay, Apple Pay etc., e o PayPal é lento e tem um suporte péssimo
    Do ponto de vista do consumidor, já não há motivo para usar
    • Ainda assim, graças ao recurso G&S (pagamento por bens e serviços), já consegui reembolso quando sofri golpe
      F&F (envio para amigos e familiares), Venmo e Zelle não têm essa proteção, então são arriscados
    • O PayPal ainda tem uma estrutura de taxas vantajosa para micropagamentos
      Por exemplo, no ardour.org há milhares de pagamentos mensais de US$ 1, e o PayPal economiza 23 centavos por transação
    • Stripe e Plaid têm cobertura limitada de países
      O PayPal ainda tem reconhecimento global
    • Quando pago na Best Buy com meu cartão de crédito, a compra sempre é cancelada, mas com PayPal passa sem problema
      Imagino que seja por causa do algoritmo de detecção de fraude
    • Antigamente, o PayPal era a única forma fácil de fazer pagamentos internacionais
      Houve uma época em que Stripe era exclusivo dos EUA
  • Segundo a matéria, o PayPal disse que “reverteu o erro causado por uma mudança de código, e o atraso na notificação não se deveu a uma investigação das autoridades”
    Mas o motivo do atraso de 2 meses continua sem estar claro
    No mínimo, parece que poderiam ter divulgado antes ao menos o fato do vazamento
    • Dizer que “não foi por causa de uma investigação das autoridades” é uma negação suspeitamente específica
      Só significa que “não foi por causa da investigação”; ainda há muitas outras possibilidades para o atraso — por exemplo, “por vergonha”
    • E se foi pouco antes do Natal? Acho que eles nunca divulgariam nessa época
  • A expressão “nossos sistemas não foram comprometidos” é um enquadramento muito esperto
    Um erro de código expôs SSNs por 6 meses, mas como não houve invasão externa, chamam isso de “não comprometido”
    O mesmo padrão se repete em Firebase, Supabase, apps de empréstimo e outros
    Seja hackeado ou apenas deixaram a porta aberta, para a vítima o problema é o mesmo
  • Tentei me cadastrar recentemente no PayPal, mas falhei por causa do péssimo processo de verificação
    Vendo esse nível de capacidade de aquisição de clientes, um incidente de segurança nem surpreende
    • Hoje em dia está cada vez mais difícil criar conta nova ou voltar a usar contas paradas há muito tempo
      O problema é o excesso de automação e os procedimentos de verificação invasivos
      Tentei pagar Minecraft para meu filho com uma conta Microsoft, mas do login ao pagamento tudo foi bloqueado por verificações e erros
      No fim, a segurança domina a experiência do usuário
  • Havia uma frase dizendo que ofereceriam aos afetados 2 anos de serviço de monitoramento de crédito da Equifax. Que medida “sofisticada”
    • É irônico, pensando no vazamento de dados da Equifax em 2017
    • A maioria das empresas pensa que “se houver incidente de segurança, basta oferecer monitoramento de crédito e pronto”
      As vítimas têm dificuldade para mover ações efetivas, e no fim só os advogados ganham com a ação coletiva
  • Na Europa, espero que o WERO substitua o PayPal. Embora o nome seja meio engraçado
    • O Wero não é diferente da atual transferência SEPA
      O PayPal ao menos tem um sistema de proteção ao comprador
    • Entre as lojas que uso com frequência, ainda não existe nenhuma que aceite Wero
  • Surgiu a pergunta: “qual pessoa ligada ao PayPal vai para a cadeia por causa deste caso?”
    • Eu também pensava assim, mas agora percebi que empresas estão acima da lei
      Pagar multas sai mais barato do que cumprir a lei, e a classe política não acompanha a tecnologia
      No fim, a proteção ao consumidor fica em segundo plano
    • Ainda assim, se foi apenas um incidente causado por bug, acho exagerado falar em prisão
      Todo mundo pode errar, e se foi falha sem má-fé, é melhor corrigir do que punir
  • Acabei de tentar fazer login e apareceu um pedido de “redefinição de senha”; depois do captcha, a página simplesmente travou
    No fim, a conta ficou totalmente bloqueada. Mandou bem, PayPal
  • Alguém criou uma conta PayPal para pagar conteúdo adulto com meu e-mail, então mesmo agora, já adulto, não consigo me cadastrar com esse endereço
    O PayPal permitia pagamentos sem verificar o e-mail
    Entrei em contato com o suporte, mas só ouvi que “não há nada que possa ser feito”
    Por isso uso apenas Stripe, Link ou pagamento direto com cartão de crédito
    No Canadá, desde 2003 é possível transferir dinheiro sem taxa via e-Transfer, então não há necessidade nenhuma de PayPal