PayPal divulga falha de segurança que expõe dados de usuários por 6 meses.
O PayPal está notificando clientes sobre uma violação de dados decorrente de um erro de software em sua aplicação de empréstimo Working Capital que deixou informações pessoais sensíveis expostas por quase seis meses, de acordo com cartas de notificação de notificação enviadas em 20 de fevereiro de 2026.
A empresa informou que a violação afetou seu produto PayPal Working Capital e expôs dados incluindo números de Segurança Social, nomes, endereços de e-mail e dados de nascimento entre 1º de julho e 13 de dezembro de 2025. O PayPal descobriu o problema em 12 de dezembro de 2025 e afirmou que reverteu a alteração de código defeituosa em um dia.
O Que
A violação foi causada por um erro de software e não por um ataque cibernético externo, de acordo com a notificação do PayPal aos clientes afetados. Uma alteração de código introduzida no aplicativo de empréstimo Working Capital expõe inadvertidamente dados de solicitantes que deveriam ter sido protegidos. A vulnerabilidade persistiu por aproximadamente cinco meses e meio antes que a equipe interna do PayPal identificasse o problema.
O PayPal afirmou que detectou transações não autorizadas em um pequeno número de contas durante o período de exposição e reembolsos emitidos para esses usuários. A empresa está oferecendo a todos os clientes atendidos dois anos de monitoramento de crédito gratuito através da Equifax.
A divulgação ocorre pouco mais de um ano após o PayPal ter pago uma multa civil de US$ 2 milhões ao Departamento de Serviços Financeiros de Nova York por uma violação de dados em 2022 que expôs números de Seguro Social de aproximadamente 35.000 clientes. Esse incidente também envolveu um erro de implementação de software — mudanças para tornar os documentos do Formulário 1099-K do IRS mais acessíveis inadvertidamente deixaram os dados dos clientes desmascarados, permitindo ataques de preenchimento de credenciais.
Naquele caso, os reguladores de Nova York responsabilizaram o PayPal por falhar em empregar pessoal qualificado em cibersegurança, fornecendo treinamento adequado e implementando proteções básicas como autenticação multifator. Posteriormente, o PayPal tornou obrigatória a autenticação multifator para todas as contas de clientes nos EUA e implementou proteções por CAPTCHA.
O Que os Usuários Afetados Devem Fazer
O PayPal orientou os clientes afetados a se inscreverem no serviço gratuito de monitoramento de identidade da Equifax, que inclui alertas de fraude e cobertura de seguro contra roubo de identidade. Especialistas em segurança recomendam que qualquer pessoa que tenha solicitado um empréstimo do PayPal Working Capital durante o período de exposição monitore de perto seus relatórios de crédito e considere colocar um alerta de fraude ou congelamento de crédito nas três principais agências de crédito.
A violação mais recente se soma ao crescente escrutínio das práticas de proteção de dados do PayPal. O escritório Schall Law Firm recentemente lembrou aos investidores sobre uma ação coletiva separada por fraude de valores mobiliários contra o PayPal, com prazo final de 20 de abril de 2026 para acionistas que negociam ações entre fevereiro de 2025 e fevereiro de 2026.
#paypal #WorkingCapital #Equifax
