2月20日消息，據BleepingComputer今日報道，PayPal正就一起嚴重數據泄露事件通知用戶：由於其貸款App中的一個Bug，去年近六個月內用戶的敏感個人信息（包括社會安全號碼）遭到暴露。

此次事件中的PayPal營運資金貸款應用（PPWC）主要為小微企業提供快速孖展服務。PayPal於2025年12月12日發現漏洞，確認自2025年7月1日起，客戶姓名、電子郵箱、電話號碼、企業地址、社會安全號碼及出生日期等信息均處於暴露狀態。

該公司表示已撤銷導致該事件的代碼變更，並在發現漏洞次日阻斷了攻擊者訪問通道。

「2025年12月12日，PayPal確認因PPWC貸款應用中的錯誤，少量客戶的個人身份信息在2025年7月1日至12月13日期間被未授權方獲取，我們已回滾引發該錯誤的代碼變更，此次通知未受任何執法調查影響。」

作為事件的直接後果，PayPal發現少量客戶賬戶出現未授權交易，已向受影響用戶退款。

PayPal建議受影響客戶監控信用報告及賬戶異常交易，並特別提醒：「PayPal永遠不會通過電話、短信或郵件索要賬戶密碼、一次性驗證碼等認證憑證」——這是數據泄露後網絡釣魚攻擊的常用手段。

儘管尚未公布具體受影響人數，PayPal已重置所有相關賬戶密碼。未主動修改密碼的用戶將在下次登入時被提示更新憑證。

在此之前，2023年1月，PayPal曾因2022年12月6日至8日遭遇大規模撞庫攻擊致使35,000個賬戶泄露而通知用戶。兩年後的2025年1月，紐約州政府以PayPal違反網絡安全法規導致2022年數據泄露為由，對其處以200萬美元（注：現匯率約合1383.2萬元人民幣）罰款達成和解。本文轉載目的在於知識分享，版權歸原作者和原刊所有。如有侵權，請及時聯繫我們刪除。