文章总结： PayPal披露其营运资金贷款应用因软件错误导致约100名客户的个人身份信息在2025年7月1日至12月13日期间泄露，泄露数据包括姓名、邮箱、电话、地址、社保号和出生日期。PayPal在发现后立即修复错误并重置密码，为受影响用户提供两年免费信用监控服务，并提醒用户警惕钓鱼攻击。 综合评分： 68 文章分类： 数据泄露,应用安全,安全运营

PayPal披露数据泄露事件，导致用户信息泄露长达6个月

原创

ZM, ZM,

暗镜

2026年2月22日 02:00 辽宁

PayPal 正在通知客户，由于去年贷款申请中的软件错误，导致客户的敏感个人信息（包括社会保障号码）泄露近 6 个月，造成数据泄露。

该事件影响了PayPal Working Capital (PPWC) 贷款应用程序，该应用程序为小企业提供快速融资渠道。

PayPal 于 2025 年 12 月 12 日发现了此次数据泄露事件，并确定自 2025 年 7 月 1 日起，客户的姓名、电子邮件地址、电话号码、公司地址、社会保障号码和出生日期均已泄露。

这家金融科技公司表示，在发现数据泄露事件一天后，他们已经撤销了导致此次事件的代码更改，阻止了攻击者访问数据。

PayPal 在发给受影响用户的违规通知信中表示：“2025 年 12 月 12 日，PayPal 发现，由于其 PayPal 营运资金 (PPWC) 贷款申请中的一个错误，少数客户的个人身份信息 (PII) 在 2025 年 7 月 1 日至 2025 年 12 月 13 日期间暴露给了未经授权的个人。 ”

“PayPal已撤回导致此次错误（可能泄露个人身份信息）的代码更改。我们并未因任何执法调查而延迟发布此通知。”

由于此次事件的直接影响，PayPal 还检测到少数客户账户上存在未经授权的交易，并已向受影响的客户发放了退款。

该公司现在通过 Equifax 为受影响的用户提供两年的免费三家信用机构信用监控和身份恢复服务，但需要在 2026 年 6 月 30 日之前注册。

受影响的客户应密切关注其信用报告和账户活动，留意可疑交易。PayPal提醒用户，他们绝不会通过电话、短信或电子邮件索取账户密码、一次性验证码或其他身份验证信息，而这正是数据泄露事件后常见的网络钓鱼攻击手段。

PayPal 也已重置了所有受影响账户的密码，并表示如果用户尚未创建新凭据，则下次登录时系统会提示他们创建新凭据。

2023 年 1 月，PayPal 通知客户，在 2022 年 12 月 6 日至 8 日期间，大规模撞库攻击导致35,000 个账户被盗用，这是又一次数据泄露事件。

两年后，2025 年 1 月，纽约州宣布与 PayPal 达成 200 万美元的和解协议，原因是 PayPal 被指控未能遵守该州的网络安全法规，导致 2022 年的数据泄露事件。

2 月 20 日 11:38 EST 更新：文章发表后，PayPal 发言人告诉 BleepingComputer，该公司系统并未遭到入侵，此次事件暴露了大约 100 名客户的数据。

发言人表示：“当客户信息可能泄露时，PayPal有义务通知受影响的客户。此次事件中，PayPal的系统并未遭到入侵。因此，我们联系了大约100名可能受到影响的客户，告知他们此事。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM, ZM,《PayPal披露数据泄露事件，导致用户信息泄露长达6个月》