انتشار شده در تاریخ 1404/12/02 - 14:52

اذعان پی‌پال به نشت طولانی‌مدت داده‌های کاربران

پی‌پال از یک نقض اطلاعاتی پرده برداشت که اطلاعات کاربران را به مدت ۶ ماه فاش می‌کرده است.

به گزارش کارگروه حملات سایبری سایبربان؛ پی‌پال (PayPal) پس از آنکه یک خطای نرم‌افزاری در یک درخواست وام، اطلاعات شخصی حساس مشتریان، از جمله شماره‌های تأمین اجتماعی، را برای نزدیک به ۶ ماه در سال گذشته افشا کرد، به مشتریان خود در مورد نقض داده‌ها اطلاع داد.

این حادثه بر برنامه وامPayPal Working Capital (PPWC) تأثیر گذاشت که به مشاغل کوچک دسترسی سریع به تأمین مالی می‌دهد.

پی‌پال این نقض را در ۱۲ دسامبر ۲۰۲۵ کشف کرد و تشخیص داد که نام، آدرس ایمیل، شماره تلفن، آدرس محل کار، شماره‌های تأمین اجتماعی و تاریخ تولد مشتریان از ۱ ژوئیه ۲۰۲۵ در معرض خطر قرار گرفته است.

این شرکت فناوری مالی اعلام کرد که تغییر کدی را که باعث این حادثه شده بود، معکوس و دسترسی مهاجمان به داده‌ها را یک روز پس از کشف این نقض مسدود کرده است.

پی‌پال در نامه‌های اطلاع‌رسانی نقض، ارسال شده برای کاربران آسیب‌دیده، گفت:

«در ۱۲ دسامبر ۲۰۲۵، پی‌پال متوجه شد که به دلیل خطایی در درخواست وام PayPal Working Capital (PPWC) خود، اطلاعات شخصی تعداد کمی از مشتریان در بازه زمانی ۱ ژوئیه ۲۰۲۵ تا ۱۳ دسامبر ۲۰۲۵ در معرض افراد غیرمجاز قرار گرفته است. پی‌پال از آن زمان تغییر کدی را لغو کرده که مسئول این خطا بود و احتمالاً اطلاعات شخصی افراد را افشا می‌کرد. ما این اطلاع‌رسانی را به دلیل هیچ تحقیقی در مورد اجرای قانون به تعویق نینداخته‌ایم.»

شرکت همچنین تراکنش‌های غیرمجاز در حساب‌های تعداد کمی از مشتریان را در نتیجه مستقیم این حادثه شناسایی کرد و به افراد آسیب‌دیده بازپرداخت‌هایی را ارائه داده است.

این شرکت اکنون به کاربران آسیب‌دیده دو سال خدمات رایگان نظارت بر اعتبار سه دفتری و بازیابی هویت از طریق «Equifax» ارائه می‌دهد که نیاز به ثبت‌نام تا 30 ژوئن 2026 دارد.

به مشتریان آسیب‌دیده توصیه شد تا گزارش‌های اعتباری و فعالیت حساب خود را برای تراکنش‌های مشکوک زیر نظر داشته باشند. پی‌پال به کاربران یادآوری کرد که هرگز رمز عبور حساب، کدهای یکبار مصرف یا سایر اطلاعات احراز هویت را از طریق تلفن، پیامک یا ایمیل درخواست نمی‌کند، تاکتیکی رایج که در حملات فیشینگ استفاده می‌شود.

پی‌پال همچنین رمزهای عبور را برای همه حساب‌های آسیب‌دیده تنظیم مجدد کرد و گفت که اگر کاربران قبلاً این کار را نکرده‌اند، در ورود بعدی خود از آنها خواسته می‌شود که اطلاعات جدیدی ایجاد کنند. در ژانویه ۲۰۲۳، پی‌پال پس از یک حمله گسترده به اطلاعات حساب کاربری که 35 هزار حساب را بین ۶ تا ۸ دسامبر ۲۰۲۲ به خطر انداخت، به مشتریان خود در مورد نقض اطلاعات دیگری اطلاع داد.

دو سال بعد، در ژانویه ۲۰۲۵، ایالت نیویورک از توافق 2 میلیون دلاری با پی‌پال به دلیل عدم رعایت مقررات امنیت سایبری ایالت که منجر به نقض اطلاعات ۲۰۲۲ شد، خبر داد.

سخنگوی شرکت اظهار داشت:

«هنگامی که احتمال افشای اطلاعات مشتری وجود دارد، پی‌پال موظف است به مشتریان آسیب‌دیده اطلاع دهد. در این مورد، سیستم‌های پی‌پال به خطر نیفتاده‌اند. بدین ترتیب، ما با تقریباً ۱۰۰ مشتری که به طور بالقوه تحت تأثیر قرار گرفته بودند تماس گرفتیم تا در این مورد آگاهی‌رسانی کنیم.»