Clientes do PayPal tiveram informações pessoais expostas por cerca de seis meses devido a uma falha de software em um aplicativo de crédito da empresa. O incidente veio à tona após comunicado oficial enviado aos usuários afetados e repercutido pelo site BleepingComputer.
Segundo a empresa, o problema foi identificado em 12 de dezembro de 2025 e está relacionado ao sistema do PayPal Working Capital, voltado para concessão de crédito a pequenos negócios. A falha permitiu que dados sensíveis ficassem acessíveis a pessoas não autorizadas.
Quais informações foram expostas?
De acordo com a notificação enviada aos clientes, o vazamento envolveu:
-
Números de telefone
-
Endereços comerciais
-
Datas de nascimento
-
Endereços de e-mail
-
Números de Seguro Social
Os dados ficaram desprotegidos entre 1º de julho e 13 de dezembro, período em que também foram identificadas atividades suspeitas em algumas contas, incluindo transações não autorizadas.
O PayPal informou que os valores indevidamente movimentados foram totalmente reembolsados aos clientes impactados.
Medidas adotadas pela empresa
A companhia afirmou que corrigiu rapidamente a falha — um dia após sua descoberta — e notificou todos os usuários afetados. Segundo a empresa, cerca de 100 clientes foram impactados pelo incidente.
Como forma de suporte, os usuários receberão:
-
Dois anos de monitoramento de crédito gratuito
-
Serviços de proteção e restauração de identidade via Equifax
Além disso, o PayPal orientou a redefinição de credenciais de acesso e reforçou a importância de monitorar movimentações financeiras e relatórios de crédito.
Risco de golpes e phishing
A empresa também alertou para possíveis tentativas de fraude utilizando os dados vazados. Criminosos podem explorar as informações para aplicar golpes de engenharia social ou enviar comunicações falsas se passando pela plataforma.
O PayPal reforçou que não solicita senhas, códigos de verificação ou dados sensíveis por telefone, SMS ou e-mail, recomendando cautela redobrada diante de qualquer contato suspeito.
Apesar do alcance limitado do incidente, o caso evidencia como falhas internas podem expor dados críticos, especialmente em serviços financeiros digitais que concentram informações altamente sensíveis.
