PayPal, PayPal Working Capital (PPWC) kredi uygulamasındaki bir yazılım hatası nedeniyle yaklaşık altı ay boyunca kullanıcı bilgilerinin sızdırıldığını duyurdu. Bu ihlal, küçük işletmelere finansman sağlayan PPWC uygulamasını kullanan müşterileri etkiledi. 1 Temmuz 2025 ile 13 Aralık 2025 tarihleri arasında adlar, e-posta adresleri, telefon numaraları, iş adresleri, Social Security numaraları ve doğum tarihleri gibi hassas kişisel veriler yetkisiz kişilerin erişimine açık kaldı. PayPal, ihlali 12 Aralık 2025'te tespit etti ve hataya neden olan kod değişikliğini bir gün sonra geri alarak saldırganların verilere erişimini engelledi.
Şirket, bu olay sonucunda az sayıda müşterinin hesaplarında yetkisiz işlemlerin de gerçekleştiğini ve etkilenenlere geri ödeme yapıldığını belirtti. PayPal, etkilenen kullanıcılara Equifax aracılığıyla iki yıl boyunca ücretsiz üç bürolu kredi izleme ve kimlik geri yükleme hizmetleri sunuyor. Ayrıca, tüm etkilenen hesapların şifreleri sıfırlandı ve kullanıcıların bir sonraki girişlerinde yeni kimlik bilgileri oluşturmaları istenecek. PayPal, müşterilerini kredi raporlarını ve hesap etkinliklerini şüpheli işlemler için izlemeleri konusunda uyardı ve kimlik avı saldırılarına karşı dikkatli olmaları gerektiğini hatırlattı.
Bu, PayPal'ın ilk veri ihlali değil; Ocak 2023'te 35.000 hesabı etkileyen bir kimlik bilgisi doldurma saldırısı yaşanmış ve Ocak 2025'te New York Eyaleti, 2022'deki ihlalle ilgili siber güvenlik düzenlemelerine uymadığı gerekçesiyle PayPal'dan 2 milyon dolarlık bir uzlaşma talep etmişti. Bu durum, finansal teknoloji şirketlerinin veri güvenliği konusundaki sürekli zorluklarını ve kullanıcı verilerini koruma sorumluluklarını bir kez daha gözler önüne seriyor.
Finansal teknoloji devlerinin bile yazılım hataları nedeniyle uzun süreli ve hassas veri ihlalleri yaşayabilmesi, siber güvenlik risklerinin ne kadar yaygın ve ciddi olduğunu gösteriyor.