PayPal уведомила часть клиентов о утечке персональных данных, связанной не с хакерской атакой, а с программной ошибкой в приложении для бизнес-кредитования PayPal Working Capital (PPWC). Из-за сбоя в коде конфиденциальная информация оказалась доступна посторонним почти полгода, что подчеркивает, насколько опасными могут быть логические ошибки в финансовых сервисах.
Хронология инцидента: как программная ошибка привела к утечке данных
По данным PayPal, проблема в приложении PPWC была обнаружена 12 декабря 2025 года. Позже выяснилось, что ошибка присутствовала в системе с 1 июля 2025 года и была вызвана некорректным изменением в программном коде.
В результате уязвимости неавторизованные лица могли получать доступ к персональным данным клиентов. Инцидент затронул пользователей, работающих с продуктом PayPal Working Capital, предназначенным для бизнес-кредитования.
Компания утверждает, что после выявления проблемы проблемный фрагмент кода был оперативно откатан — уже на следующий день после обнаружения, то есть 13 декабря 2025 года. В официальном уведомлении пострадавшим клиентам PayPal указала, что данные были доступны в период с 1 июля по 13 декабря 2025 года.
Какие данные клиентов PayPal оказались под угрозой
Согласно уведомлению PayPal, в результате ошибки в приложении PayPal Working Capital могли быть раскрыты следующие категории персональной информации:
– полные имена клиентов;
– email-адреса;
– номера телефонов;
– рабочие адреса;
– номера социального страхования (SSN);
– даты рождения.
Часть этих данных относится к числу высокочувствительных идентификаторов личности. Комбинация ФИО, даты рождения и номера социального страхования представляет значительную ценность для злоумышленников и может использоваться для кражи личности, оформления кредитов и проведения мошеннических операций от имени пострадавших.
Масштаб утечки и позиция PayPal
В PayPal подчеркивают, что инцидент затронул «небольшое число клиентов». В комментарии изданию BleepingComputer представители компании уточнили, что речь идет примерно о 100 пострадавших клиентах.
При этом PayPal заявляет, что ключевые системы компании не были скомпрометированы. Утечка стала следствием внутренней программной ошибки в конкретном приложении, а не результатом внешнего взлома инфраструктуры или проникновения в сеть компании. Такой сценарий характерен для инцидентов, связанных с логическими уязвимостями приложений, когда ошибка в проверке прав доступа открывает доступ к данным без явного «ломания» защиты.
Несанкционированные транзакции и ответные меры PayPal
До исправления ошибки уязвимость успели использовать злоумышленники. По данным компании, на части скомпрометированных аккаунтов были зафиксированы несанкционированные транзакции. PayPal заявляет, что все неправомерные списания были обнаружены, а средства возвращены клиентам.
В рамках реагирования на инцидент PayPal предприняла несколько стандартных для отрасли шагов:
– сбросила пароли для затронутых аккаунтов;
– уведомила клиентов о произошедшем и рекомендуемых мерах безопасности;
– предложила пострадавшим двухлетний бесплатный мониторинг кредитной истории через Equifax — это должен помочь вовремя заметить попытки оформления кредитов или других финансовых операций на имя жертв утечки.
Экспертный разбор: чем опасны логические ошибки в финансовых сервисах
Ошибка в коде как «тихая» угроза кибербезопасности
Инцидент с PayPal Working Capital иллюстрирует, что утечка данных возможна и без классического взлома. Достаточно одной некорректной правки кода, чтобы открыть доступ к конфиденциальной информации на месяцы. Подобные логические уязвимости часто не выявляются традиционными средствами защиты, ориентированными на обнаружение вредоносной активности, эксплойтов или попыток подбора паролей.
Для финансовых и платежных сервисов, работающих с критически важными персональными и финансовыми данными, такие ошибки особенно опасны: они подрывают доверие клиентов и несут серьезные регуляторные и репутационные риски.
Как компаниям снизить риск подобных утечек
Практика показывает, что минимизировать риски, связанные с программными ошибками, помогает комплексный подход к безопасной разработке (Secure SDLC) и эксплуатации приложений. Среди ключевых мер можно выделить:
– тщательное тестирование изменений, влияющих на аутентификацию и авторизацию;
– обязательные код-ревью, в том числе с участием специалистов по безопасности;
– использование автоматизированных инструментов анализа кода и тестирования бизнес-логики;
– регулярный аудит прав доступа и ролей пользователей;
– внедрение мониторинга аномальной активности (нестандартные запросы, подозрительные транзакции, массовый доступ к данным);
– программы вознаграждения за найденные уязвимости (bug bounty), стимулирующие внешних исследователей искать логические ошибки.
Рекомендации пользователям PayPal и других финансовых сервисов
Хотя в данном случае масштаб инцидента ограничился примерно сотней клиентов, он наглядно показывает, что даже крупные и технически зрелые компании не застрахованы от ошибок. Пользователям финансовых сервисов стоит придерживаться нескольких базовых правил кибербезопасности:
– включать двухфакторную аутентификацию (2FA) для всех платежных и банковских аккаунтов;
– использовать уникальные, сложные пароли и менеджеры паролей;
– регулярно проверять историю операций и оперативно сообщать о подозрительных транзакциях банку или платежному сервису;
– периодически отслеживать свою кредитную историю, особенно после сообщений об утечках;
– с осторожностью относиться к письмам и звонкам, в которых под предлогом инцидента с безопасностью запрашивают пароли, коды подтверждения или данные карт — это распространенный сценарий фишинга.
Случай с утечкой данных в PayPal Working Capital подчеркивает: надежность финансового сервиса зависит не только от защиты от внешних атак, но и от качества внутренних процессов разработки и тестирования. Компании, работающие с персональными и финансовыми данными, должны рассматривать безопасность как непрерывный процесс, а пользователи — внимательно относиться к защите своих аккаунтов и своевременно реагировать на любые сообщения о киберинцидентах.
