BERITA TERKINI
Bug di PayPal Working Capital Picu Kebocoran Data, Sejumlah Akun Pengguna Jadi Sasaran Penipuan

Bug di PayPal Working Capital Picu Kebocoran Data, Sejumlah Akun Pengguna Jadi Sasaran Penipuan

PayPal mengakui adanya kebocoran data yang melibatkan sebagian pelanggan akibat kesalahan pengkodean pada aplikasi. Insiden ini membuat data sensitif pengguna terekspos dan kemudian dimanfaatkan pelaku untuk melancarkan penipuan, termasuk upaya phishing dan transaksi tidak sah.

Dalam konfirmasi yang dikutip TechRadar pada Senin (23/2), PayPal menyatakan bahwa kesalahan pada pengkodean aplikasi menyebabkan data beberapa pelanggan terbuka dan memicu terjadinya sejumlah transaksi penipuan. Perusahaan menyebut kerentanan tersebut terkait aplikasi pinjaman PayPal Working Capital (PPWC), sebuah produk pembiayaan bisnis.

PayPal menyampaikan bahwa bug tersebut ditemukan pada 12 Desember 2025. Namun, data yang terdampak disebut telah terekspos sejak 1 Juli hingga 13 Desember 2025. Informasi yang terungkap mencakup nama pengguna, alamat email, nomor telepon, alamat bisnis, nomor Jaminan Sosial (SSN), serta tanggal lahir.

Menurut PayPal, data tersebut dapat membantu pelaku menyusun pesan yang tampak meyakinkan seolah-olah berasal dari perusahaan, sehingga menyulitkan calon korban membedakan komunikasi resmi dengan penipuan. PayPal menyatakan beberapa pelanggan mengalami transaksi tidak sah di akun mereka.

Perusahaan menyebut telah mencabut akses tidak sah, mengganti seluruh kata sandi korban, serta mengembalikan dana kepada pengguna yang terdampak. PayPal juga menyatakan kode yang menjadi penyebab tereksposnya data telah diperbaiki.

PayPal menegaskan pemberitahuan kepada pelanggan tidak ditunda karena adanya penyelidikan penegakan hukum. Selain itu, perusahaan menawarkan layanan pemantauan kredit dan pemulihan identitas gratis selama dua tahun melalui Equifax.

PayPal turut mengimbau pelanggan untuk meningkatkan kewaspadaan terhadap email, tautan, maupun lampiran yang mencurigakan. Imbauan ini disampaikan di tengah kekhawatiran bahwa data yang bocor dapat digunakan untuk memperkuat modus phishing.

Sementara itu, Digital Watch melaporkan jumlah pelanggan yang datanya terekspos mencapai ratusan, merujuk pada surat PayPal kepada konsumen pada 10 Februari 2026. Insiden ini juga mengingatkan pada kasus serupa pada 2023, ketika serangan credential stuffing dilaporkan memengaruhi hampir 35 ribu akun dan memicu penipuan skala besar dengan modus penyamaran sebagai tim PayPal.

PayPal menyatakan terus melakukan investigasi, baik secara manual maupun dengan alat otomatis, untuk menekan risiko penipuan.