PayPal a notifié ses clients d'un incident de sécurité touchant son service de prêt, PayPal Working Capital. Une faille de code, active de juillet à décembre 2025, a exposé des informations sensibles comme les numéros de sécurité sociale. Bien que peu de clients soient touchés, des transactions non autorisées ont été constatées et remboursées. PayPal a corrigé la faille et renforcé la sécurité des comptes.
PayPal a récemment fait face à un incident de sécurité préoccupant. Contrairement à une cyberattaque externe, la source du problème est une erreur interne au sein de son application PayPal Working Capital (PPWC), un service de financement pour les petites entreprises. Cette vulnérabilité a permis un accès non autorisé à des données clients extrêmement sensibles pendant une période de près de six mois.Quelles informations ont été compromises et pendant combien de temps ?
Cette fuite de données, active du 1er juillet au 12 décembre 2025, a été introduite lors d'une mise à jour logicielle de l'application PPWC. Durant cette longue période, des individus non autorisés ont pu consulter un ensemble d'informations personnelles critiques.
La liste des données exposées est particulièrement inquiétante. Elle inclut les noms complets, adresses e-mail, numéros de téléphone, adresses professionnelles, dates de naissance et, surtout, les numéros de sécurité sociale. Cette combinaison de données représente un risque très élevé pour les victimes en matière d'usurpation d'identité.Quelles ont été les conséquences directes pour les utilisateurs touchés ?
Bien que PayPal insiste sur le fait qu'un « petit nombre de clients » est concerné, estimé à une centaine de personnes, les répercussions ont été immédiates. L'entreprise a reconnu que « quelques clients ont subi des transactions non autorisées » directement liées à cet incident.
Les cybercriminels n'ont pas tardé à exploiter les informations dérobées pour effectuer des opérations frauduleuses. La sensibilité des données, notamment les numéros de sécurité sociale, ouvre également la porte à des risques plus larges comme l'usurpation d’identité et des tentatives de phishing très ciblées
Comment PayPal a-t-il réagi pour sécuriser les comptes et indemniser les victimes ?Dès la découverte du problème le 12 décembre 2025, les équipes de PayPal ont agi rapidement en annulant la modification du code à l'origine de l'erreur, bloquant ainsi l'accès non autorisé. L'entreprise a également procédé au remboursement intégral de toutes les transactions frauduleuses identifiées.
Par mesure de précaution, les mots de passe de tous les comptes affectés ont été réinitialisés. De plus, PayPal s'est engagé à offrir deux ans de surveillance de crédit via le service Equifax aux personnes concernées. L'entreprise rappelle à tous ses utilisateurs de rester vigilants et de surveiller attentivement leurs relevés de compte.
merci à GNT
