PayPal waarschuwt klanten voor een datalek waardoor persoonlijke data zes maanden lang lekte. Onder de gelekte gegevens bevinden zich sociaal-fiscale nummers.
De softwarefout deed zich voor in de PayPal Working Capital-applicatie, een app waar kleine bedrijven eenvoudig een zakelijke lening in kunnen aangaan. Het lek stelde zich van 1 juli 2025 tot 13 december 2025. Naast namen en e-mailadressen raakten ook telefoonnummers, bedrijfsadressen, sociaal-fiscale nummers en geboortedata gecompromitteerd.
PayPal ontdekte het lek op 12 december 2025 en trok één dag later de verantwoordelijke code terug. Daarmee werd verdere toegang tot de data geblokkeerd. “PayPal heeft op dat moment de code change die deze fout veroorzaakte, teruggedraaid, waardoor mogelijk persoonlijke data werd blootgesteld. We hebben deze melding niet uitgesteld als gevolg van een rechtshandhavingsonderzoek”, aldus het bedrijf in de een bericht aan getroffen gebruikers.
Ongeautoriseerde transacties
Het platform detecteerde ook ongeautoriseerde transacties op een beperkt aantal accounts als direct gevolg van het datalek. Getroffen klanten ontvingen daarop terugbetalingen.
Het bedrijf geeft verder aan dat het lek beperkt bleef tot een kleine groep, maar het exacte aantal getroffen klanten is niet bekend. Ter compensatie biedt het Amerikaanse betaalplatform getroffen gebruikers nu twee jaar gratis creditmonitoring en diensten voor het opnieuw veilig stellen van de identiteit aan via Equifax. Die diensten vereisen wel inschrijving vóór 30 juni 2026.
PayPal adviseert klanten hun creditrapporten en actieve rekeningen te monitoren op verdachte handelingen. Het bedrijf herinnert gebruikers eraan dat het nooit telefonisch, via sms of e-mail om wachtwoorden, eenmalige codes of andere authenticatiegegevens vraagt. Die benadering komt vaak voor bij phishing-aanvallen die doorgaans volgen na de bekendmaking van datalekken.
PayPal heeft de wachtwoorden van alle getroffen accounts gereset. Gebruikers krijgen een prompt om nieuwe inloggegevens aan te maken bij hun volgende aanmelding, mits ze dat nog niet gedaan hebben.
Lees ook: Aantal phishing-aanvallen verdubbeld in een jaar tijd
Gelekte data blijft lang in omloop
Hoewel PayPal er geen hoog aantal incidenten op nahoudt, zinderde de gevolgen van een eerder lek wel lang na. In 2022 raakte zo’n 35.000 accounts gecompromitteerd door een grootschalige credential stuffing-aanval. Drie jaar later dook een dataset op met inloggegevens van 15,8 miljoen PayPal-accounts die op het dark web werd aangeboden. PayPal verklaarde toen dat die data verband hield met het credential stuffing-incident uit 2022 en niet met een nieuw lek.