2月20日消息，据BleepingComputer报道，PayPal正就一起严重数据泄露事件通知用户：由于其贷款App中的一个Bug，去年近六个月内用户的敏感个人信息（包括社会安全号码）遭到暴露。

此次事件中的PayPal营运资金贷款应用（PPWC）主要为小微企业提供快速融资服务。PayPal于2025年12月12日发现漏洞，确认自2025年7月1日起，客户姓名、电子邮箱、电话号码、企业地址、社会安全号码及出生日期等信息均处于暴露状态。

该公司表示已撤销导致该事件的代码变更，并在发现漏洞次日阻断了攻击者访问通道。

“2025年12月12日，PayPal确认因PPWC贷款应用中的错误，少量客户的个人身份信息在2025年7月1日至12月13日期间被未授权方获取，我们已回滚引发该错误的代码变更，此次通知未受任何执法调查影响。”

作为事件的直接后果，PayPal发现少量客户账户出现未授权交易，已向受影响用户退款。

PayPal建议受影响客户监控信用报告及账户异常交易，并特别提醒：“PayPal永远不会通过电话、短信或邮件索要账户密码、一次性验证码等认证凭证”——这是数据泄露后网络钓鱼攻击的常用手段。

尽管尚未公布具体受影响人数，PayPal已重置所有相关账户密码。未主动修改密码的用户将在下次登录时被提示更新凭证。

在此之前，2023年1月，PayPal曾因2022年12月6日至8日遭遇大规模撞库攻击致使35,000个账户泄露而通知用户。两年后的2025年1月，纽约州政府以PayPal违反网络安全法规导致2022年数据泄露为由，对其处以200万美元（注：现汇率约合1383.2万元人民币）罚款达成和解。