PayPal mengakui data beberapa pelanggan terekspos karena kesalahan pada pengkodean aplikasi. Hal ini mengakibatkan penipu memiliki data pengguna yang bisa dimanfaatkan untuk melancarkan aksi penipuan.
"Kesalahan dalam pengkodean aplikasi PayPal menyebabkan data beberapa pelanggan terekspos dan bahkan mengakibatkan beberapa transaksi penipuan," demikian isi konfirmasi PayPal dikutip dari TechRadar, Senin (23/2).
Baru-baru ini, PayPal memberi tahu sebagian pelanggan bahwa perusahaan menemukan bug dalam aplikasi pinjaman PayPal Working Capital (PPWC), yang berfungsi sebagai produk pembiayaan bisnis.
Kerentanan itu ditemukan pada 12 Desember 2025 ini. Data yang bocor ternyata merupakan data sensitif seperti nama pengguna, alamat email, nomor telepon, alamat bisnis, nomor Jaminan Sosial (SSN), dan tanggal lahir, yang terekspos selama lebih dari lima bulan, antara tanggal 1 Juli sampai 13 Desember 2025.
Data-data itu kemudian dimanfaatkan oleh pelaku penipuan untuk melancarkan aksinya.
Dengan memiliki data kredensial, calon penipu menjadi seolah-olah benar berasal dari PayPal, sehingga mempersulit calon korban untuk membedakan email, pesan maupun panggilan yang diterima itu asli atau penipuan.
"Beberapa pelanggan mengalami transaksi tidak sah di akun mereka," kata PayPal. Akan tetapi, perusahaan menekankan bahwa akses tidak sah dicabut, dan uang para korban telah diganti.
PayPal juga telah mengganti semua kata sandi korban. Kode yang menyebabkan data pengguna terekspos juga sudah diperbaiki.
“Kami tidak menunda pemberitahuan ini sebagai akibat dari penyelidikan penegakan hukum apa pun,” kata PayPal.
Perusahaan juga menawarkan layanan pemantauan kredit dan pemulihan identitas gratis selama dua tahun melalui Equifax. TechRadar menyebutkan dalam artikel bahwa langkah ini merupakan praktik standar dalam insiden seperti ini di Amerika Serikat.
PayPal meminta semua pelanggan untuk tetap waspada terhadap email yang masuk, dan untuk lebih berhati-hati saat mengeklik tautan maupun mengunduh lampiran.
Sementara itu, Digital Watch menyebutkan jumlah pelanggan yang datanya terekspos mencapai ratusan, merujuk pada surat PayPal kepada konsumen pada 10 Februari 2026.
Insiden kebocoran data pengguna, termasuk serangan credential stuffing juga pernah terjadi pada 2023. Kasus ini memengaruhi hampir 35 ribu akun, dan mengakibatkan penipuan skala besar dengan modus phishing atau menyamar sebagai tim PayPal.
PayPal mengatakan bahwa perusahaan terus melakukan investigasi manual dan alat otomatis untuk mengurangi penipuan.
Dapatkan pengalaman membaca lebih nyaman dan nikmati fitur menarik lainnya lewat aplikasi mobile Katadata.
