Rò rỉ dữ liệu PayPal: Lỗi mã hóa nghiêm trọng lộ PII

PayPal đã công bố thông báo chính thức về vụ rò rỉ dữ liệu, tiết lộ rằng một lỗi mã hóa trong ứng dụng cho vay PayPal Working Capital (PPWC) đã làm lộ thông tin nhận dạng cá nhân (PII) của một số lượng khách hàng không xác định trong khoảng sáu tháng, từ ngày 1 tháng 7 năm 2025 đến ngày 13 tháng 12 năm 2025.

Phát hiện và Nguyên nhân Gốc rễ Vụ Rò rỉ Dữ liệu PayPal

Công ty đã phát hiện ra sự cố lộ dữ liệu trái phép này vào ngày 12 tháng 12 năm 2025.

PayPal chính thức thông báo cho các khách hàng bị ảnh hưởng qua văn bản vào ngày 10 tháng 2 năm 2026 từ trụ sở chính tại San Jose, California.

Sự cố rò rỉ dữ liệu này không phải do một chiến dịch xâm nhập từ bên ngoài mà là từ một lỗi phần mềm nội bộ.

Một thay đổi mã trong giao diện ứng dụng cho vay PPWC đã vô tình cho phép các bên thứ ba không được ủy quyền truy cập vào PII của khách hàng, gây ra sự cố rò rỉ dữ liệu này.

PayPal đã xác nhận rằng thay đổi mã gây ra sự cố đã được khôi phục và quyền truy cập trái phép vào hệ thống của họ đã bị chấm dứt.

Công ty cũng tuyên bố rằng không có cuộc điều tra của cơ quan thực thi pháp luật nào làm chậm trễ việc ban hành thông báo này.

Thông tin Cá nhân Bị Ảnh hưởng và Rủi ro Tiềm ẩn

Các loại thông tin cá nhân có khả năng bị lộ trong khoảng thời gian xảy ra rò rỉ dữ liệu là rất nhạy cảm. Sự kiện rò rỉ dữ liệu này làm nổi bật tầm quan trọng của việc bảo vệ PII.

• Tên đầy đủ
• Địa chỉ email
• Số điện thoại
• Địa chỉ doanh nghiệp
• Số An sinh xã hội (SSN)
• Ngày sinh

Sự kết hợp giữa SSN và ngày sinh cùng với thông tin liên hệ doanh nghiệp tạo ra một hồ sơ có rủi ro bảo mật cao.

Điều này tiềm ẩn nguy cơ đánh cắp danh tính, gian lận tài chính và các cuộc tấn công kỹ thuật xã hội nhắm vào các cá nhân bị ảnh hưởng.

PayPal cũng lưu ý rằng một số lượng nhỏ khách hàng đã trải qua các giao dịch trái phép trên tài khoản của họ.

Công ty đã hoàn trả tiền cho những cá nhân này.

Biện pháp Khắc phục từ PayPal và Hỗ trợ Khách hàng

Ngay sau khi phát hiện, PayPal đã tiến hành một cuộc điều tra toàn diện và chấm dứt quyền truy cập trái phép vào hệ thống.

Công ty đã thực thi việc đặt lại mật khẩu bắt buộc cho tất cả các tài khoản bị ảnh hưởng.

Các biện pháp kiểm soát bảo mật nâng cao đã được triển khai, yêu cầu thông tin đăng nhập mới khi đăng nhập lần tiếp theo. Các biện pháp này nhằm giảm thiểu hậu quả của vụ rò rỉ dữ liệu và bảo vệ tài khoản người dùng.

Là một biện pháp khắc phục, công ty đang cung cấp hai năm giám sát tín dụng miễn phí ba cục và dịch vụ khôi phục danh tính.

Dịch vụ này được cung cấp thông qua Equifax Complete™ Premier, bao gồm bảo hiểm trộm cắp danh tính lên đến 1.000.000 USD.

Người dùng bị ảnh hưởng phải đăng ký thông qua Equifax bằng cách sử dụng mã kích hoạt được cung cấp trước hạn chót là ngày 31 tháng 7 năm 2026.

Khuyến nghị An toàn Thông tin cho Khách hàng

Khách hàng bị ảnh hưởng được khuyến nghị xem xét lịch sử giao dịch tài khoản của họ.

Họ cũng nên theo dõi báo cáo tín dụng của mình thông qua annualcreditreport.com để chủ động đối phó với rủi ro bảo mật từ rò rỉ dữ liệu.

Để tăng cường an toàn thông tin cá nhân, người dùng nên cân nhắc đặt cảnh báo gian lận hoặc đóng băng tín dụng với cả ba cục tín dụng lớn: Equifax, Experian và TransUnion mà không mất phí.

PayPal cũng nhắc nhở người dùng rằng công ty sẽ không bao giờ yêu cầu thông tin đăng nhập tài khoản, mật khẩu hoặc mã xác thực một lần qua cuộc gọi, tin nhắn hoặc email.

Lịch trình Sự cố và Phản hồi của PayPal

Vụ rò rỉ dữ liệu này, phát sinh từ một lỗi mã hóa nội bộ, kéo dài trong khoảng từ ngày 1 tháng 7 năm 2025 đến ngày 13 tháng 12 năm 2025.

PayPal đã phát hiện ra sự cố vào ngày 12 tháng 12 năm 2025 và tiến hành các biện pháp khắc phục ngay lập tức.

Thông báo chính thức cho khách hàng bị ảnh hưởng được gửi vào ngày 10 tháng 2 năm 2026.

Một phát ngôn viên của PayPal đã tuyên bố rằng: “Khi có khả năng lộ thông tin khách hàng, PayPal có nghĩa vụ thông báo cho các khách hàng bị ảnh hưởng. Trong tình huống này, hệ thống của PayPal không bị xâm phạm. Do đó, chúng tôi đã liên hệ với khoảng 100 khách hàng có khả năng bị ảnh hưởng để nâng cao nhận thức về vấn đề này.”

Thông báo chi tiết về vụ việc có thể được tham khảo từ tài liệu chính thức của PayPal để tăng cường hiểu biết về các sự kiện rò rỉ dữ liệu tương tự: Thông báo rò rỉ dữ liệu PayPal tháng 2 năm 2026.