PayPal révèle une fuite de données ayant exposé des informations d’utilisateurs pendant six mois

 (bleepingcomputer.com)
2 points par GN⁺ 2026-02-22 | 1 commentaires | Partager sur WhatsApp
  • Une erreur dans le système de demande de prêt a exposé pendant environ six mois des données personnelles sensibles de clients à l’extérieur
  • Les informations exposées incluent le nom, l’e-mail, le numéro de téléphone, l’adresse professionnelle, le numéro de sécurité sociale et la date de naissance
  • PayPal a annulé la modification de code pour bloquer l’accès le lendemain de la découverte du problème, et a procédé à des remboursements pour certaines transactions non autorisées
  • L’entreprise offre gratuitement aux clients touchés deux ans de surveillance du crédit et de service de restauration d’identité via Equifax
  • La société affirme que le système n’a pas été compromis et que seules les données d’environ 100 clients ont été exposées

Aperçu de la fuite de données

  • Une erreur logicielle dans PayPal Working Capital (application de prêt) a exposé des informations clients à l’extérieur
    • La période d’exposition a été identifiée comme allant du 1er juillet 2025 au 13 décembre 2025
    • Les données exposées incluent le nom, l’e-mail, le numéro de téléphone, l’adresse professionnelle, le numéro de sécurité sociale et la date de naissance
  • PayPal a découvert le problème le 12 décembre 2025 et a annulé la modification de code pour bloquer l’accès le lendemain
  • L’entreprise précise que, du fait de cette erreur, les informations personnelles identifiables (PII) d’un petit nombre de clients ont été exposées à des personnes non autorisées

Mesures de réponse et protection des clients

  • PayPal a proposé des remboursements à certains clients ayant subi des transactions non autorisées
  • L’entreprise offre gratuitement pendant deux ans aux clients touchés le service de surveillance des trois grandes agences de crédit et de restauration d’identité d’Equifax
    • La date limite d’inscription au service est le 30 juin 2026
  • Les mots de passe de tous les comptes concernés ont été réinitialisés, avec obligation de créer de nouveaux identifiants à la prochaine connexion
  • Il est recommandé aux clients de surveiller leurs rapports de crédit et l’activité de leurs comptes
  • PayPal rappelle qu’il ne demande jamais de mot de passe ou de code d’authentification par téléphone, SMS ou e-mail

Position de l’entreprise et précisions supplémentaires

  • Après la mise à jour de l’article, un porte-parole de PayPal a déclaré que le système lui-même n’avait pas été compromis
    • Environ 100 clients ont été touchés, et l’entreprise insiste sur le fait qu’il s’agit d’une exposition due à une erreur de code, et non d’une intrusion dans le système
    • Il a expliqué que « lorsqu’il existe une possibilité d’exposition de données clients, il existe une obligation légale de notification »
  • Autrement dit, le système de sécurité est resté intact, mais un défaut de code a rendu les données consultables depuis l’extérieur

Incident similaire dans le passé

  • En décembre 2022, un cas de compromission de 35 000 comptes à la suite d’une attaque massive de credential stuffing avait déjà eu lieu
  • En janvier 2025, l’État de New York a infligé à PayPal un règlement de 2 millions de dollars lié à cet incident
    • La sanction était motivée par le fait que PayPal n’avait pas respecté les règles de cybersécurité de l’État à l’époque

Résumé des réactions de la communauté

  • Certains utilisateurs se demandent « comment des données ont pu fuiter si le système n’a pas été compromis »
  • Pour l’expliquer, une comparaison est avancée : « le système de sécurité était sûr comme un coffre-fort, mais la porte était restée ouverte à cause d’une erreur de code »
    • En d’autres termes, il s’agit d’un cas où les informations ont été exposées à l’extérieur non pas à cause d’un piratage, mais d’une erreur dans le code de développement

À lire aussi

1 commentaires

 
GN⁺ 2026-02-22
Commentaires Hacker News
  • Il y a près de 20 ans, PayPal m’a pris 15 dollars sans aucune raison
    J’avais acheté un jeu une fois, puis laissé l’argent restant pendant 6 mois avant d’essayer de l’utiliser sur eBay, et mon compte a été verrouillé immédiatement
    Comme on me demandait même une pièce d’identité notariée, j’ai simplement abandonné. Depuis, je me suis juré de « ne plus jamais l’utiliser », et je ne l’ai pas regretté une seule fois
    Quand je vois les nouveaux incidents qui éclatent chaque année, je me dis que cette décision était la bonne
    J’espère qu’un jour quelqu’un intentera un procès colossal contre cette entreprise et la fera fermer
    • J’avais vu autrefois sur Reddit un post disant que « PayPal a bloqué 600 000 dollars de mon argent »
      Il s’est avéré que c’était justement l’histoire de Notch à l’époque où il vendait la version alpha de Minecraft sur son site personnel. À l’époque, ça ressemblait vraiment à une arnaque
    • Je pensais qu’une entreprise ne pouvait pas tirer profit d’un argent laissé en déshérence
      Je croyais qu’en général cet argent était transféré à l’organisme public chargé des biens non réclamés
      Dans ce cas, ce n’est peut-être pas de la cupidité mais simplement de l’incompétence
    • J’ai moi aussi essayé de créer un compte PayPal pour une cagnotte de cadeaux entre collègues, mais mon compte a été bloqué dès que la vérification bancaire a été terminée
      Comme il fallait appeler le support et même fournir un scan de ma pièce d’identité, j’ai simplement supprimé le compte et remplacé ça par des cartes-cadeaux numériques
    • PayPal bénéficie d’une position de monopole et il n’existe pratiquement aucune alternative réelle
  • Pendant un temps, PayPal était le moyen de paiement le plus fiable sur Internet
    Mais aujourd’hui, il peut être remplacé par Stripe, Plaid, Google Pay, Apple Pay, etc., et PayPal est lent avec un support catastrophique
    Du point de vue du consommateur, il n’y a plus vraiment de raison de l’utiliser
    • Malgré tout, grâce à la fonctionnalité G&S (paiement de biens et services), j’ai déjà pu être remboursé après une arnaque
      F&F (envoi à des amis et à la famille), Venmo ou Zelle n’offrent pas cette protection, donc c’est risqué
    • PayPal conserve tout de même une structure de frais avantageuse pour les micropaiements
      Par exemple, sur ardour.org, il y a plusieurs milliers de paiements de 1 dollar par mois, et PayPal permet d’économiser 23 cents par transaction
    • Stripe et Plaid ont une couverture de pays limitée
      PayPal garde encore une forte notoriété mondiale
    • Quand je paie chez Best Buy avec ma carte de crédit, la transaction est toujours annulée, mais avec PayPal elle passe sans problème
      Ça semble venir des algorithmes de détection de fraude
    • Avant, PayPal était la seule façon simple de faire des paiements à l’international
      Stripe a un temps été réservé aux États-Unis
  • D’après l’article, PayPal a déclaré avoir « annulé l’erreur causée par un changement de code, et le retard de notification n’est pas dû à une enquête des forces de l’ordre »
    Mais la raison de ce retard de 2 mois reste floue
    Ils auraient au moins pu divulguer d’abord l’existence de la fuite de données
    • Le fait de dire « ce n’est pas à cause d’une enquête des forces de l’ordre » est un démenti étrangement spécifique
      Cela dit seulement que « ce n’est pas à cause de l’enquête », pas qu’il n’y avait pas d’autres raisons de retarder l’annonce — par exemple « parce que c’était embarrassant »
    • Juste avant Noël ? Je doute qu’ils l’auraient annoncé à ce moment-là
  • La formule « nos systèmes n’ont pas été compromis » est un cadrage particulièrement habile
    Un bug de code a exposé des numéros de sécurité sociale pendant 6 mois, mais comme il n’y a pas eu d’intrusion externe, ils disent que ce n’est « pas une compromission »
    On voit le même schéma se répéter avec Firebase, Supabase, des applications de prêt, etc.
    Que ce soit un piratage ou simplement une porte laissée ouverte, pour les victimes c’est exactement le même problème
  • J’ai récemment essayé de m’inscrire à PayPal, mais j’ai échoué à cause d’une procédure de vérification désastreuse
    Vu leur niveau de capacité à acquérir des clients, un incident de sécurité n’a rien de surprenant
    • De nos jours, il devient de plus en plus difficile de créer un nouveau compte ou de revenir sur un compte inutilisé depuis longtemps
      Le problème vient d’une automatisation excessive et de procédures de vérification intrusives
      J’ai voulu payer Minecraft pour mon enfant avec un compte Microsoft, mais de la connexion au paiement, j’ai été bloqué par toutes sortes de vérifications et d’erreurs
      On est finalement dans une situation où la sécurité domine l’expérience utilisateur
  • Il était indiqué que les victimes recevraient 2 ans de service de surveillance de crédit Equifax. Une mesure vraiment « élégante »
    • Quand on pense à la fuite de données Equifax de 2017, c’est ironique
    • La plupart des entreprises semblent penser que « même s’il y a un incident de sécurité, il suffit d’offrir une surveillance de crédit et l’affaire est réglée »
      Les victimes ont du mal à engager une action concrète, et au final ce sont surtout les avocats qui profitent des recours collectifs
  • En Europe, j’espère que WERO remplacera PayPal. Le nom est un peu ridicule, cela dit
    • Wero ne diffère pas vraiment des virements SEPA existants
      PayPal offre tout de même une protection des acheteurs
    • Parmi les boutiques que j’utilise souvent, aucune ne prend encore Wero en charge
  • Quelqu’un a posé la question : « Lequel des responsables de PayPal ira en prison à cause de cet incident ? »
    • Moi aussi je pensais comme ça avant, mais j’ai fini par comprendre que les entreprises sont au-dessus des lois
      Payer des amendes coûte moins cher que respecter la loi, et le monde politique ne suit pas la technologie
      Au final, la protection des consommateurs passe au second plan
    • Cela dit, si c’est simplement un incident causé par un bug, la prison me paraît excessive
      Tout le monde peut faire des erreurs, et si ce n’est pas intentionnel, il faut améliorer les choses plutôt que punir
  • Je viens d’essayer de me connecter, et on m’a demandé de « réinitialiser le mot de passe », puis la page s’est figée après le captcha
    Résultat, je me retrouve avec un compte totalement verrouillé. Bravo, PayPal
  • Quelqu’un a créé avec mon adresse e-mail un compte PayPal destiné à des paiements de contenus pour adultes, si bien que même maintenant que je suis adulte, il m’est impossible de m’inscrire avec cette adresse
    PayPal autorisait les paiements sans vérification de l’adresse e-mail
    J’ai contacté le support, mais on m’a seulement répondu qu’« il n’y avait pas de solution »
    Du coup, je n’utilise que Stripe, Link, ou le paiement direct par carte bancaire
    Au Canada, il est possible depuis 2003 d’envoyer de l’argent sans frais via e-Transfer, donc PayPal n’y est absolument pas nécessaire