В декабре 2025 года компания PayPal сообщила о серьёзной уязвимости в своём приложении для бизнес-кредитования PayPal Working Capital (PPWC), что привело к масштабной утечке конфиденциальных данных клиентов. Инцидент, обусловленный программным сбоем, стал причиной несанкционированного доступа к личной информации пользователей на протяжении почти шести месяцев.
Проблема была обнаружена 12 декабря 2025 года, и впоследствии выяснилось, что с 1 июля злоумышленники могли получить доступ к данным, включая имена, адреса электронной почты, номера телефонов, места работы, номера социального страхования и даты рождения, из-за некорректного обновления кода. На следующий день после выявления уязвимости компания оперативно восстановила исходный код приложения.
В официальном письме клиентам PayPal сообщила: «Из-за ошибки в приложении PPWC данные ограниченного числа пользователей могли быть подвержены несанкционированному доступу в период с 1 июля по 13 декабря 2025 года». Компанией также было признано, что до исправления уязвимости злоумышленники успели воспользоваться ситуацией. На счетах некоторых клиентов были зафиксированы неправомерные транзакции, которые уже были возмещены. Пароли скомпрометированных учётных записей были немедленно изменены, а клиентам предоставлен бесплатный двухлетний мониторинг кредитной истории от Equifax.
Представители PayPal подчеркнули, что внутренние системы компании оставались защищёнными, и инцидент затронул менее 100 пользователей. В целях предотвращения подобных инцидентов в будущем, компания предпринимает все необходимые меры по усилению кибербезопасности и оптимизации процессов обновления программного обеспечения.