PayPal révèle une fuite de données ayant exposé des informations d’utilisateurs pendant six mois

• Une erreur dans le système de demande de prêt a exposé pendant environ six mois des données personnelles sensibles de clients à l’extérieur
• Les informations exposées incluent le nom, l’e-mail, le numéro de téléphone, l’adresse professionnelle, le numéro de sécurité sociale et la date de naissance
• PayPal a annulé la modification de code pour bloquer l’accès le lendemain de la découverte du problème, et a procédé à des remboursements pour certaines transactions non autorisées
• L’entreprise offre gratuitement aux clients touchés deux ans de surveillance du crédit et de service de restauration d’identité via Equifax
• La société affirme que le système n’a pas été compromis et que seules les données d’environ 100 clients ont été exposées

Aperçu de la fuite de données

• Une erreur logicielle dans PayPal Working Capital (application de prêt) a exposé des informations clients à l’extérieur
  • La période d’exposition a été identifiée comme allant du 1er juillet 2025 au 13 décembre 2025
  • Les données exposées incluent le nom, l’e-mail, le numéro de téléphone, l’adresse professionnelle, le numéro de sécurité sociale et la date de naissance
• PayPal a découvert le problème le 12 décembre 2025 et a annulé la modification de code pour bloquer l’accès le lendemain
• L’entreprise précise que, du fait de cette erreur, les informations personnelles identifiables (PII) d’un petit nombre de clients ont été exposées à des personnes non autorisées

Mesures de réponse et protection des clients

• PayPal a proposé des remboursements à certains clients ayant subi des transactions non autorisées
• L’entreprise offre gratuitement pendant deux ans aux clients touchés le service de surveillance des trois grandes agences de crédit et de restauration d’identité d’Equifax
  • La date limite d’inscription au service est le 30 juin 2026
• Les mots de passe de tous les comptes concernés ont été réinitialisés, avec obligation de créer de nouveaux identifiants à la prochaine connexion
• Il est recommandé aux clients de surveiller leurs rapports de crédit et l’activité de leurs comptes
• PayPal rappelle qu’il ne demande jamais de mot de passe ou de code d’authentification par téléphone, SMS ou e-mail

Position de l’entreprise et précisions supplémentaires

• Après la mise à jour de l’article, un porte-parole de PayPal a déclaré que le système lui-même n’avait pas été compromis
  • Environ 100 clients ont été touchés, et l’entreprise insiste sur le fait qu’il s’agit d’une exposition due à une erreur de code, et non d’une intrusion dans le système
  • Il a expliqué que « lorsqu’il existe une possibilité d’exposition de données clients, il existe une obligation légale de notification »
• Autrement dit, le système de sécurité est resté intact, mais un défaut de code a rendu les données consultables depuis l’extérieur

Incident similaire dans le passé

• En décembre 2022, un cas de compromission de 35 000 comptes à la suite d’une attaque massive de credential stuffing avait déjà eu lieu
• En janvier 2025, l’État de New York a infligé à PayPal un règlement de 2 millions de dollars lié à cet incident
  • La sanction était motivée par le fait que PayPal n’avait pas respecté les règles de cybersécurité de l’État à l’époque

Résumé des réactions de la communauté

• Certains utilisateurs se demandent « comment des données ont pu fuiter si le système n’a pas été compromis »
• Pour l’expliquer, une comparaison est avancée : « le système de sécurité était sûr comme un coffre-fort, mais la porte était restée ouverte à cause d’une erreur de code »
  • En d’autres termes, il s’agit d’un cas où les informations ont été exposées à l’extérieur non pas à cause d’un piratage, mais d’une erreur dans le code de développement