'Programação defeituosa' do PayPal resulta em transações não autorizadas

Visão Geral do Vazamento de Dados do PayPal

• Principal Destaque: Um incidente de segurança na divisão de empréstimos para pequenas empresas do PayPal ocorreu devido a uma falha de software.
• Implicações: Essa violação aconteceu enquanto o PayPal trabalhava para se recuperar de um período de resultados financeiros decepcionantes.
• Resposta: O PayPal reembolsou os clientes afetados e está oferecendo monitoramento de crédito gratuito por dois anos.

Nas últimas semanas, o PayPal vem lidando com as consequências de um vazamento de segurança que resultou na perda de dinheiro de alguns usuários para cibercriminosos.

De acordo com uma carta de divulgação datada de 10 de fevereiro, o PayPal identificou um problema de programação em sua plataforma Working Capital em 12 de dezembro. Essa vulnerabilidade expôs detalhes sensíveis de clientes — incluindo nomes, endereços de e-mail, números de telefone, endereços comerciais, números do Seguro Social e datas de nascimento — entre 1º de julho e 13 de dezembro.

Tracy Goldberg, diretora de cibersegurança da Javelin Strategy & Research, comentou ao American Banker que incidentes como esse estão se tornando mais frequentes, especialmente entre credores e plataformas digitais de empréstimo, provavelmente devido ao valor dos dados pessoais presentes nas solicitações de empréstimo.

O PayPal relatou que um pequeno número de usuários experimentou atividades não autorizadas em suas contas. A empresa já reembolsou os afetados e está oferecendo dois anos de monitoramento de crédito gratuito através da Experian. Além disso, o PayPal reforçou suas medidas de segurança e redefiniu as senhas dos usuários impactados, exigindo que atualizem suas credenciais no próximo login.

Sobre o PayPal Working Capital

A violação esteve ligada ao PayPal Working Capital, uma divisão que oferece financiamento principalmente para pequenas empresas. Esse serviço ajuda o PayPal a competir com bancos tradicionais, especialmente em regiões onde os bancos reduziram sua presença. O PayPal destaca que mais da metade de seus empréstimos Working Capital e para Negócios são concedidos a pequenas empresas em regiões onde diversos bancos fecharam agências desde o início dos anos 2020. Diferente dos bancos, o PayPal e concorrentes como Square baseiam suas decisões de empréstimo em pagamentos futuros projetados, permitindo aprovações mais rápidas para pequenas empresas.

Importância Estratégica do Crédito para Pequenas Empresas

Expandir o crédito para pequenas empresas faz parte dos esforços do PayPal para diversificar receitas e fortalecer o relacionamento com clientes empresariais, especialmente porque o crescimento em seu serviço principal de checkout desacelerou. Essa queda recentemente levou a mudanças na liderança, com Alex Chriss sendo substituído por Enrique Lores como CEO, com efeito a partir de 1º de março.

Detalhes Adicionais e Contexto do Setor

Esse incidente de segurança ocorre em um momento desafiador para o PayPal, diante de recentes mudanças organizacionais. A empresa não divulgou o número total de clientes afetados nem o impacto financeiro. Um porta-voz do PayPal disse ao American Banker que, embora seus sistemas não tenham sido comprometidos diretamente, notificaram cerca de 100 clientes potencialmente impactados como precaução. Com sede em San Jose, Califórnia, o PayPal está sujeito a leis estaduais que exigem divulgação rápida de violações que afetem mais de 500 residentes, embora ainda não esteja claro quantos clientes da Califórnia foram envolvidos.

O PayPal não está sozinho ao enfrentar esses desafios. No início deste ano, a credora blockchain Figure Technology Solutions relatou uma violação que afetou um milhão de contas, atribuída ao grupo cibercriminoso ShinyHunters, que usa táticas de engenharia social para obter acesso. O ShinyHunters também assumiu responsabilidade por uma violação na fintech Betterment, expondo dados de aproximadamente 1,4 milhão de usuários.

Riscos dos Dados Pessoais Agrupados

Goldberg observou que, embora vazamentos envolvendo nomes, nomes de usuário, endereços de e-mail, números de telefone, números do Seguro Social e datas de nascimento sejam comuns, o incidente do PayPal é particularmente preocupante porque também incluiu informações comerciais sensíveis. Quando esses dados pessoais são roubados de forma agrupada, tornam-se mais valiosos e fáceis de serem usados por criminosos para fraudes, como abrir novas contas ou assumir contas existentes — uma ameaça persistente para instituições financeiras.