Az incidens különösen aggasztó, mert nem külső hackertámadás, hanem belső fejlesztési hiba állt a háttérben.
A PayPal megerősítette, hogy 2025-ben közel hat hónapon keresztül érzékeny ügyféladatok voltak elérhetők egy szoftverhiba miatt a PayPal Working Capital (PPWC) üzleti hitelplatformon.
📅 Idővonal
- 2025. július 1. – A hibás kód élesítése
- 2025. december 12. – A probléma azonosítása
- 24 órán belül – A hibás kód visszavonása és a hozzáférés blokkolása
A sebezhetőség tehát majdnem fél éven keresztül fennállt.
🧾 Milyen adatok érintettek?
A kiszivárgott adatok köre kifejezetten érzékeny:
- Teljes név
- Email cím
- Telefonszám
- Üzleti cím
- Társadalombiztosítási szám (SSN)
- Születési dátum
Ez klasszikus, magas kockázatú PII + identity theft profil.
A PayPal szerint „kis számú ügyfelet” érintett az eset, de a pontos számot nem hozták nyilvánosságra.
💸 Történt pénzügyi visszaélés?
Igen – korlátozott számú esetben:
- Jogosulatlan tranzakciók történtek
- Az érintett összegeket teljes mértékben visszatérítették
🛡 Mit tett a PayPal?
A vállalat:
- Minden érintett fiók jelszavát resetelte
- Kötelező új bejelentkezési adatokat írt elő
- Visszagörgette a hibás szoftverfrissítést
- 2 év ingyenes hitelmonitoringot kínál az Equifax szolgáltatásán keresztül
A hitelmonitoringra 2026. június 30-ig lehet regisztrálni.
⚠ Korábbi biztonsági problémák
Ez nem az első eset.
2023 elején a PayPal ~35 000 fiókot érintő credential stuffing támadást jelentett be.
2025 januárjában New York állam 2 millió dolláros egyezséget kötött a PayPallal, megállapítva, hogy nem felelt meg teljes mértékben a kiberbiztonsági előírásoknak.
Ez az ismétlődő minta szabályozói figyelmet vonhat maga után.
❓ Megválaszolatlan kérdések
A vállalat nem tisztázta:
- Pontosan hány felhasználó érintett
- Volt-e szervezett támadói aktivitás
- Hogyan maradhatott észrevétlen a hiba 6 hónapig
- Milyen monitoring rendszer működött a platformon
A legkritikusabb kérdés:
Miért nem detektálták korábban a jogosulatlan hozzáférést?
🧠 Miért különösen súlyos ez?
Mert:
- Nem külső exploit
- Nem zero-day
- Hanem szoftverfejlesztési hiba
A fintech szektorban a „minor code change” is kritikus következményekkel járhat.
Ez klasszikus secure SDLC + monitoring failure kombináció.
👤 Mit tegyenek a felhasználók?
Ha érintett vagy PayPal felhasználó:
✅ Regisztrálj a hitelmonitoring szolgáltatásra
✅ Aktiválj fraud alertet vagy credit freeze-et, ha szükséges
✅ Változtasd meg a jelszót más pénzügyi szolgáltatásoknál is
✅ Kapcsold be a kétfaktoros hitelesítést
✅ Figyelj a phishing kísérletekre
A PayPal hangsúlyozta:
nem kér jelszót vagy egyszer használatos kódot telefonon, emailben vagy SMS-ben.
🏛 Szabályozási kockázat
Az ilyen típusú incidensek:
- GDPR (EU)
- állami pénzügyi szabályozások
- adatvédelmi felügyeleti vizsgálatok
alá eshetnek.
A fél éves észrevétlenség compliance szempontból különösen érzékeny pont.
📌 Stratégiai tanulság
A legnagyobb fintech platformok sem immunisak:
- Fejlesztési hibákra
- Monitoring hiányosságokra
- Késleltetett incidensészlelésre
A modern támadások korában nem csak hackerek jelentenek kockázatot.
A nem megfelelő kódellenőrzés és detekció legalább akkora veszély.
