O PayPal notificou clientes afetados por um incidente de segurança que expôs informações pessoais sensíveis, incluindo números de Seguro Social, equivalente ao CPF nos Estados Unidos, por quase seis meses.O problema foi identificado em 12 de dezembro de 2025 e estava relacionado a um erro no aplicativo de empréstimos PayPal Working Capital (PPWC), voltado para pequenas empresas que precisam de acesso rápido a financiamento.Segundo a empresa, os dados ficaram expostos a pessoas não autorizadas entre 1º de julho e 13 de dezembro de 2025. Na carta enviada aos clientes afetados, o PayPal detalha que as informações comprometidas incluem nome, endereço de e-mail, telefone, endereço comercial, número de Seguro Social e data de nascimento.O que causou o vazamentoDe acordo com o PayPal, o incidente foi causado por uma alteração no código do aplicativo PPWC. A empresa reverteu a mudança um dia após a descoberta, bloqueando o acesso não autorizado aos dados. A companhia também informou que não houve atraso na notificação por conta de investigações policiais."Em 12 de dezembro de 2025, o PayPal identificou que, devido a um erro em seu aplicativo de empréstimos PayPal Working Capital, as informações pessoais de um pequeno número de clientes foram expostas a pessoas não autorizadas", diz o comunicado oficial enviado às vítimas.Transações não autorizadas e senhas redefinidasAlém da exposição dos dados, um pequeno grupo de clientes também registrou transações não autorizadas em suas contas como consequência direta do incidente. O PayPal afirma ter emitido reembolsos a todos os afetados por cobranças indevidas.Como medida de contenção, a empresa redefiniu as senhas de todas as contas impactadas. Usuários que ainda não trocaram suas credenciais serão solicitados a criar uma nova senha no próximo acesso à plataforma.O que o PayPal está oferecendo às vítimasA empresa está oferecendo dois anos de monitoramento de crédito gratuito e serviços de restauração de identidade por meio da Equifax, empresa norte-americana de crédito. Para receber o benefício, os clientes afetados precisam se inscrever até 30 de junho de 2026.O PayPal também recomenda que os usuários revisem seus extratos e relatórios de crédito com frequência e fiquem atentos a qualquer atividade suspeita. A empresa lembrou que jamais solicita senhas, códigos de verificação ou outros fatores de autenticação por telefone, SMS ou e-mai, prática comum em golpes de phishing que costumam surgir após vazamentos.Não é a primeira vezEste não é o primeiro incidente de segurança envolvendo o PayPal nos últimos anos. Em janeiro de 2023, a empresa notificou clientes sobre uma violação de dados causada por um ataque de credential stuffing, quando criminosos usam combinações de login e senha vazadas de outros serviços para acessar contas em massa.O ataque comprometeu cerca de 35 mil contas entre os dias 6 e 8 de dezembro de 2022.Dois anos depois, em janeiro de 2025, o estado de Nova York anunciou um acordo de US$ 2 milhões com a empresa, relacionado ao descumprimento de regulamentações de cibersegurança que teriam contribuído para o episódio de 2022.Escala menor do que pareciaApós a publicação das primeiras notícias sobre o caso, um porta-voz do PayPal confirmou ao BleepingComputer que os sistemas da empresa não foram comprometidos diretamente, e que o número de clientes afetados é de aproximadamente 100 pessoas."Quando há uma potencial exposição de informações de clientes, o PayPal é obrigado a notificar os clientes afetados", disse o porta-voz. "Neste caso, os sistemas do PayPal não foram comprometidos. Entramos em contato com os aproximadamente 100 clientes que foram potencialmente impactados para fornecer informações sobre o ocorrido."Para ficar por dentro de incidentes de segurança como esse, acompanhe o TecMundo nas redes sociais e no YouTube. Se quiser receber mais notícias de tecnologia e cibersegurança diretamente no seu e-mail, assine nossa newsletter!