A PayPal está a notificar um grupo de clientes sobre uma exposição de informações sensíveis que ocorreu devido a um erro de software na sua aplicação de empréstimos PayPal Working Capital (PPWC). Esta ferramenta, destinada a pequenas empresas para acesso rápido a financiamento, permitiu o acesso não autorizado a dados pessoais durante quase seis meses no decorrer do ano passado.
Falha técnica expôs informações durante seis meses
A empresa identificou a falha a 12 de dezembro de 2025, determinando que nomes, endereços de e-mail, números de telemóvel, moradas comerciais, datas de nascimento e números de Segurança Social estiveram expostos desde o dia 1 de julho de 2025. Embora a falha tenha sido prolongada no tempo, a tecnológica financeira agiu rapidamente após a descoberta, revertendo a alteração de código responsável pelo incidente apenas um dia depois de ter detetado o problema.
Apesar da gravidade dos dados envolvidos, um porta-voz da empresa explicou ao portal BleepingComputer que os sistemas centrais não foram comprometidos. Segundo a mesma fonte, a exposição afetou um número reduzido de utilizadores, estimando-se que cerca de 100 clientes tenham sido impactados por este erro específico na aplicação de empréstimos.
Medidas de proteção e historial de segurança
Como consequência direta deste incidente, a PayPal detetou transações não autorizadas em algumas das contas afetadas, tendo já procedido ao reembolso total dos valores em causa. Além disso, as palavras-passe das contas comprometidas foram repostas preventivamente. Para mitigar potenciais danos futuros, a empresa está a oferecer aos clientes afetados dois anos de monitorização gratuita de crédito e serviços de restauro de identidade, conforme detalhado na notificação oficial enviada às vítimas.
Este não é o primeiro revés de segurança da plataforma nos últimos anos. Em janeiro de 2023, um ataque de preenchimento de credenciais afetou 35 mil contas, o que levou o estado de Nova Iorque a anunciar, em janeiro de 2025, um acordo de 2 milhões de dólares (cerca de 1,85 milhões de euros) devido a falhas na conformidade com regulamentos de cibersegurança. A empresa aconselha agora os utilizadores a manterem-se vigilantes contra tentativas de phishing, relembrando que nunca solicita códigos de autenticação ou passwords através de chamadas, mensagens ou e-mail.
Nenhum comentário
Seja o primeiro!