PayPal a informé certains utilisateurs que des informations extrêmement sensibles étaient accessibles par erreur dans une de ses demandes de prêt depuis plusieurs mois l'an dernier. Selon la communication envoyée aux intéressés, une modification du code d'application des prêts Fonds de roulement PayPal a laissé les données personnelles exposées du 1er juillet à la mi-décembre 2025, jusqu'à ce que l'entreprise découvre le problème et inverse la modification le 12 décembre.
Les types d'information en cause comprennent les noms, les adresses électroniques, les numéros de téléphone, les adresses commerciales, les dates de naissance et même les numéros de sécurité sociale. Ce sont des données qui, dans les mauvaises mains, facilitent la fraude de toutes sortes : de l'ouverture de comptes au nom d'une autre personne aux escroqueries dirigées à la fois contre des particuliers et des entreprises. PayPal a signalé avoir détecté des transactions non autorisées dans certains comptes liés à la défaillance et avoir déjà soumis des remboursements aux clients concernés.
La société a également offert deux ans de surveillance du crédit avec la couverture des trois principales agences et services de restauration d'identité fournis par Equifax, bien que l'enregistrement exige des utilisateurs de réclamer cet avantage au 30 juin 2026. Pour ceux qui ont besoin de conseils sur la façon d'activer ces protections, il est utile de revoir l'offre et les étapes concrètes que PayPal a envoyées par lettre aux personnes concernées; la notification formelle se trouve dans le document public où la lettre envoyée par l'entreprise est reproduite. Voilà..
La nature de l'erreur décrite par PayPal - un ajustement logiciel qui a involontairement ouvert l'accès aux données personnelles - n'est pas inhabituelle dans une infrastructure complexe où les déploiements fréquents et les unités entre services ont réduit la portée des tests manuels. Lorsque cela se produit, le temps nécessaire à l'entreprise pour détecter et contenir la fuite est essentiel: dans ce cas, l'exposition a duré près de six mois. La compagnie affirme que la correction a été appliquée immédiatement après la conclusion et qu'elle n'a pas retardé la communication pour des représailles ou des enquêtes externes.
Bien que PayPal n'ait pas encore publié un chiffre officiel du nombre total de comptes touchés par cet incident, il a confirmé qu'il a procédé au rétablissement des mots de passe pour les comptes engagés et que les utilisateurs devront établir de nouvelles références lorsqu'ils se connecteront. En outre, l'entreprise a réitéré une recommandation bien connue mais toujours actuelle : ne jamais révéler de mots de passe, de codes à usage unique ou d'identifications par appels, SMS ou e-mails, car les criminels profitent souvent de ces situations pour lancer des campagnes d'hameçonnage destinées aux victimes de lacunes.
Cet épisode se produit dans le contexte de problèmes de sécurité antérieurs pour PayPal. En décembre 2022, une attaque massive de « farce crédimentaire » a été enregistrée qui a affecté des dizaines de milliers de comptes et, en 2025, la société a accepté une sanction avec le régulateur de l'État de New York pour ne pas avoir respecté certaines obligations de cybersécurité liées à cet incident. La récurrence de ces épisodes soulève des questions sur la façon dont les grandes plateformes gèrent le risque technologique au fil du temps et sur la question de savoir si les mesures prises après chaque incident sont suffisantes pour éviter les répétitions.
Pour les utilisateurs et les petites entreprises utilisant des services tels que PayPal Working Capital, des mesures pratiques devraient être prises immédiatement après cette notification. Premièrement, examiner attentivement les mouvements bancaires et les transactions sur PayPal et les comptes connexes; deuxièmement, demander des rapports de crédit et envisager des alertes de fraude ou de gel de crédit lorsque c'est possible; et troisièmement, être attentif aux tentatives d'hameçonnage, qui sont souvent augmentées après des fuites massives de données personnelles. La Federal Trade Commission (FTC) fournit des conseils clairs sur les mesures à prendre en cas de vol d'identité et sur la façon de se protéger à moyen terme, un guide utile pour ceux qui reçoivent une notification similaire Voilà..
Il est également recommandé de profiter des offres de surveillance et de restauration offertes par l'entreprise elle-même, mais avec prudence : lire les termes des services, vérifier ce qui couvre exactement la protection et pour combien de temps, et non pas compter uniquement sur cette couverture. Les services offerts par des fournisseurs comme Equifax peuvent être utiles, mais il convient de connaître des solutions de rechange et de compléter ces mesures par une surveillance active des déclarations et des alertes personnelles. Pour plus d'informations sur les services de protection et de surveillance du crédit, consulter le site Internet Equifax Voilà..
Du point de vue technique et de la gouvernance, la principale leçon est que les déploiements de logiciels sur des plates-formes qui traitent des données sensibles nécessitent des contrôles de qualité et la détection d'anomalies robustes : audits de code, environnements d'essai réalistes, déploiements progressifs avec surveillance en temps réel et processus clairs pour inverser les changements de problèmes. En outre, la transparence avec les clients et la coordination avec les organismes de réglementation peuvent contribuer à atténuer l'impact sur la réputation et la légalité en cas de fuite. Pour ceux qui veulent suivre la couverture de l'incident, des médias spécialisés comme BleepingComputer ont fait rapport sur la notification et ont essayé de recueillir des déclarations officielles de PayPal Voilà..
En fin de compte, lorsqu'une plateforme de paiement avec des millions d'utilisateurs est exposée de cette nature, les conséquences non seulement affectent les victimes directes, mais elles érodent la confiance dans les services que beaucoup d'entreprises et de consommateurs considèrent comme essentiels. Il incombe maintenant à PayPal de démontrer qu'il a appris de l'incident, renforcé ses processus et, surtout, mieux protégé les données de confiance de ses clients.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...