PayPal confirma vazamento de dados sensíveis de clientes por seis meses
O PayPal notificou seus clientes sobre uma violação de segurança que expôs informações pessoais sensíveis por quase seis meses em 2025. O incidente, causado por um erro de software no aplicativo de empréstimo PayPal Working Capital, permitiu o acesso não autorizado a dados como nomes, endereços de e-mail, números de telefone, endereços comerciais, datas de nascimento e números de identificação pessoal.
O que se sabe sobre o incidente
A empresa descobriu o problema no início de dezembro de 2025, mas a exposição dos dados teve início em julho do mesmo ano. O PayPal afirma que apenas "um pequeno número de clientes" foi afetado, mas não divulgou números precisos. O erro de código no software foi revertido um dia após a descoberta, e o acesso dos cibercriminosos foi bloqueado.
Impacto e medidas de reparação
Além da exposição de dados, a investigação identificou transações não autorizadas em contas dos clientes impactados. A empresa realizou reembolsos e ofereceu dois anos gratuitos de monitoramento de crédito em três agências, além de serviços de restauração de identidade pela Equifax. Em comunicado, o PayPal reforçou que nunca solicita senhas, códigos ou credenciais sensíveis por telefone, SMS ou e-mail, e recomendou que os clientes mantenham atenção redobrada a atividades suspeitas em suas contas.
Contexto e implicações
O PayPal Working Capital é uma solução de financiamento rápido voltada para pequenas empresas, o que sugere que os dados expostos podem pertencer a empreendedores e proprietários de negócios. A demora de quase seis meses entre a exposição inicial e a descoberta do incidente levanta questões sobre os controles de monitoramento contínuo da plataforma. Embora a empresa tenha agido após a descoberta, o período prolongado de vulnerabilidade aumenta o risco de uso malicioso das informações.
Este caso ilustra os riscos persistentes associados a erros de software em aplicações financeiras, mesmo em grandes empresas de tecnologia com recursos substanciais de segurança. A resposta da empresa, incluindo o monitoramento de crédito oferecido, segue práticas comuns de pós-violação, mas a extensão real do dano pode só se tornar clara com o tempo.