PayPal hat einigen Benutzern mitgeteilt, dass extrem sensible Informationen irrtümlich zugänglich in einem seiner Kreditanträge für mehrere Monate im letzten Jahr. Nach der Mitteilung an die Betroffenen ändert sich der Kodex der Anwendung von Darlehen PayPal Working Capital vom 1. Juli bis Mitte Dezember 2025 freigelassene personenbezogene Daten, bis das Unternehmen das Problem entdeckte und die Änderung am 12. Dezember umkehrte.
Zu den Arten von Informationen gehören Namen, E-Mail-Adressen, Telefonnummern, Geschäftsadressen, Geburtsdatumn und sogar Sozialversicherungsnummern. Dies sind Daten, die in den falschen Händen den Betrug aller Art erleichtern: von der Eröffnung von Konten im Namen einer anderen Person bis hin zu Betrügereien, die auf Einzelpersonen und Unternehmen gerichtet sind. PayPal berichtete, dass es unberechtigte Transaktionen in einigen Konten im Zusammenhang mit dem Ausfall erkannte und dass es bereits Rückerstattungen an die betroffenen Kunden übermittelt hat.
Das Unternehmen hat auch zwei Jahre Kreditüberwachung mit Abdeckung der drei wichtigsten Agenturen und Identitätswiederherstellung Dienstleistungen von Equifax angeboten, obwohl die Registrierung erfordert, dass die Nutzer diesen Vorteil bis zum 30. Juni 2026 geltend machen. Für diejenigen, die Anleitung zur Aktivierung dieser Schutzmaßnahmen benötigen, ist es nützlich, das Angebot und konkrete Schritte zu überprüfen, die PayPal per Brief an die Betroffenen gesendet; die formale Benachrichtigung kann in dem öffentlichen Dokument gefunden werden, wo der von der Firma gesendete Brief wiedergegeben wird. Hier..
Die Art des von PayPal beschriebenen Fehlers - eine Software-Anpassung, die unbeabsichtigt geöffneten Zugriff auf personenbezogene Daten - ist in der komplexen Infrastruktur nicht ungewöhnlich, wo häufige Bereitstellungen und Einheiten zwischen den Diensten den Umfang der manuellen Prüfung reduziert haben. Wenn dies geschieht, ist die Zeit, die für das Unternehmen benötigt wird, das Leck zu erkennen und zu enthalten, der Schlüssel: In diesem Fall dauerte die Exposition fast sechs Monate. Das Unternehmen stellt fest, dass die Korrektur unmittelbar nach der Feststellung angewendet wurde und dass die Mitteilung für Repressalien oder externe Untersuchungen nicht verzögert wurde.
Während PayPal noch keine offizielle Zahl der Gesamtzahl der von diesem Vorfall betroffenen Konten veröffentlicht hat, hat es bestätigt, dass es fortfahren, Passwörter für die engagierten Konten wiederherzustellen und dass Benutzer müssen neue Anmeldeinformationen, wenn sie sich anmelden. Darüber hinaus hat das Unternehmen eine bekannte, aber immer aktuelle Empfehlung wiederholt: nie offenbart Passwörter, Single-Use-Codes oder Anmeldeinformationen durch Anrufe, Textnachrichten oder E-Mails, da Kriminelle oft nutzen diese Situationen phishing-Kampagnen auf Opfer von Lücken starten.
Diese Folge tritt im Kontext früherer Sicherheitsprobleme für PayPal auf. Im Dezember 2022 wurde ein massiver "credimentary stuffing" Angriff aufgezeichnet, der Zehntausende von Konten betroffen, und im Jahr 2025 vereinbarte das Unternehmen eine Sanktion mit dem staatlichen Regulator von New York, um bestimmte Cybersicherheitsverpflichtungen im Zusammenhang mit diesem Vorfall nicht zu erfüllen. Die Wiederholung dieser Episoden stellt Fragen, wie große Plattformen das technologische Risiko im Laufe der Zeit verwalten und ob die nach jedem Zwischenfall getroffenen Maßnahmen ausreichen, um Wiederholungen zu vermeiden.
Für Nutzer und kleine Unternehmen, die Dienstleistungen wie PayPal Working Capital nutzen, gibt es praktische Maßnahmen, die unmittelbar nach dieser Mitteilung getroffen werden sollten. Erstens, sorgfältig überprüfen Bankbewegungen und Transaktionen in PayPal und verwandten Konten; zweitens, Anfragen Kreditberichte und betrachten Betrug oder Kredit einfrieren Warnungen, wenn möglich; und drittens, seien Sie aufmerksam auf Phishing-Probleme, die oft nach massiven persönlichen Daten Lecks erhöht werden. Die Federal Trade Commission (FTC) gibt klare Ratschläge zu welchen Schritten bei Identitätsdiebstahl zu unternehmen und sich mittelfristig zu schützen, einen nützlichen Leitfaden für diejenigen, die ähnliche Meldungen erhalten Hier..
Es wird auch empfohlen, die von dem Unternehmen selbst angebotenen Überwachungs- und Restaurierungsangebote zu nutzen, aber mit Vorsicht: die Bedingungen der Dienstleistungen zu lesen, zu überprüfen, was genau den Schutz umfasst und wie lange, und nicht nur auf diese Abdeckung verlassen. Die von Lieferanten wie Equifax angebotenen Dienstleistungen können nützlich sein, es ist jedoch angebracht, Alternativen zu kennen und diese Maßnahmen mit einer aktiven Überwachung der Aussagen und persönlichen Ausschreibungen zu ergänzen. Weitere Informationen zum Schutz und zur Überwachung von Dienstleistungen finden Sie auf der Equifax Website Hier..
Aus technischer und geschäftspolitischer Sicht ist die Hauptsache, dass Software-Einsätze auf Plattformen, die sensible Daten verarbeiten, Qualitätskontrollen und Erkennung von robusten Anomalien erfordern: Code-Audits, realistische Testumgebungen, fortschrittliche Bereitstellungen mit Echtzeit-Überwachung und klaren Prozessen, um Problemänderungen zu rückgängig zu machen. Darüber hinaus kann die Transparenz mit den Kunden und die Abstimmung mit den Regulierungsbehörden dazu beitragen, die namhaften und rechtlichen Auswirkungen zu mindern, wenn ein Leck auftritt. Für diejenigen, die den Vorfall Abdeckung folgen möchten, haben spezialisierte Medien wie BleepingComputer über die Benachrichtigung berichtet und versucht, offizielle Aussagen von PayPal zu sammeln Hier..
Letztendlich, wenn eine Zahlungsplattform mit Millionen von Nutzern dieser Art ausgesetzt ist, beeinflussen die Folgen nicht nur direkte Opfer; sie erwecken das Vertrauen in Dienstleistungen, die viele Unternehmen und Verbraucher für wesentlich halten. Die Verantwortung liegt nun bei PayPal, um zu zeigen, dass er aus dem Vorfall gelernt hat, seine Prozesse gestärkt und vor allem die Daten, die seine Kunden vertrauen besser geschützt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...