Vazamento de dados do PayPal confirmado

26/02/2026 mindsecblog Notícias 0

Vazamento de dados do PayPal confirmado — dinheiro foi roubado, senhas já foram redefinidas

Atualização do em 22 de fevereiro com detalhes de incidentes e alertas de segurança anteriores do PayPal, orientações adicionais para aqueles afetados pela violação de dados confirmada do PayPal Working Capital, que resultou em reembolsos de transações e redefinições de senhas de contas, e uma declaração de um porta-voz do PayPal.

Alguns usuários do PayPal começaram a receber e-mails da empresa confirmando uma violação de dados que expôs informações pessoais a um invasor que obteve acesso aos sistemas do PayPal, resultando em transações não autorizadas em suas contas e na redefinição de senhas. Veja o que você precisa saber.

Vazamento de dados expôs informações de clientes do PayPal por seis meses.

Uma carta de notificação de violação de dados, que eu mesmo verifiquei, confirmou que alguns usuários do PayPal foram afetados por uma violação de dados após um hacker ter obtido acesso aos sistemas do PayPal em 1º de julho de 2025. O hacker aparentemente teve acesso até 12 de dezembro de 2025, quando o PayPal descobriu o incidente de segurança. A violação, de acordo com as notificações, datadas de 10 de fevereiro, afetou alguns usuários “devido a um erro em seu aplicativo de empréstimo PayPal Working Capital (“PPWC”)”.

 

Ainda não se sabe como o acesso do invasor evoluiu, pois esta história ainda está em desenvolvimento e o PayPal ainda não explicou o ocorrido em detalhes, além de mencionar uma “alteração no código”. No entanto, após a publicação deste artigo, um porta-voz do PayPal divulgou a seguinte declaração: “Quando há uma potencial exposição de informações do cliente, o PayPal é obrigado a notificar os clientes afetados. Neste caso, os sistemas do PayPal não foram comprometidos. Sendo assim, contatamos os cerca de 100 clientes que foram potencialmente afetados para informá-los sobre o assunto.”

Atualmente, aguardo esclarecimentos sobre a aparente discrepância entre a declaração de que “os sistemas do PayPal não foram comprometidos” e a notificação, que afirmava que, após uma investigação, a empresa havia “encerrado o acesso não autorizado aos sistemas do PayPal”. Publicarei uma nova atualização assim que receber esse esclarecimento.

“Ao tomarmos conhecimento dessa atividade não autorizada, iniciamos imediatamente uma investigação e tomamos medidas para solucionar o incidente, incluindo ações para impedir que agentes não autorizados obtenham mais informações pessoais”, afirmou a notificação do PayPal. Seria interessante, no entanto, saber por que a equipe de segurança do PayPal levou seis meses para perceber a vulnerabilidade, conforme mencionado na própria notificação de violação de dados. Essa é uma enorme janela de oportunidade para invasores, e devemos ser gratos por tão poucas contas terem sido potencialmente afetadas antes que a vulnerabilidade fosse definitivamente solucionada.

Que informações foram acessadas pelo hacker do PayPal?

O que sabemos, neste momento, é que as seguintes informações foram potencialmente acessadas:

  • Nome
  • Endereço de email
  • Número de telefone
  • Endereço comercial
  • Número da Segurança Social
  • Data de nascimento

O PayPal também confirmou que “alguns clientes tiveram transações não autorizadas em suas contas”, e agora sabemos que esse número foi muito pequeno, 100, segundo o porta-voz que entrou em contato comigo. O PayPal confirmou que já reembolsou os clientes afetados.

Quero dizer, é ótimo que um número relativamente pequeno de usuários do PayPal tenha sido afetado por este incidente, mas a natureza das informações que foram potencialmente acessadas é tal que me preocuparia muito com a oportunidade que isso oferece para qualquer invasor explorar com o uso de outras ameaças, não relacionadas especificamente ao PayPal. Pequenas empresas podem ser especialmente suscetíveis a ameaças de phishing, principalmente aquelas que são cuidadosamente direcionadas a elas usando essas informações. Sendo assim, aconselho a todos os leitores que tomem nota das recomendações de segurança do PayPal no final deste artigo, tenham sido afetados por este incidente ou não. Levará apenas um ou dois minutos do seu tempo, mas pode ser um dos melhores investimentos que sua empresa já fez.

ForbesNovos alertas de ataque à Amazon — O que 300 milhões de clientes precisam saberPor Davey Winder

Este não é o primeiro caso de aviso de segurança do PayPal.

Já abordei diversos alertas de segurança do PayPal anteriormente , a maioria relacionada a ataques de phishing enviados por e-mail, SMS ou telefone, embora, em 2023, tenha ocorrido outra violação de segurança. Na época, relatei o ocorrido, confirmando que um total de 34.942 contas do PayPal foram acessadas por meio de ataques que utilizavam a metodologia de preenchimento de credenciais (credential stuffing). Esses ataques envolvem agentes maliciosos que implantam um processo automatizado na tentativa de acessar contas com credenciais de login que foram comprometidas de alguma forma, frequentemente credenciais reutilizadas entre contas e posteriormente comprometidas em uma delas. Listas dessas credenciais comprometidas estão facilmente disponíveis na dark web.

Em dezembro de 2025, relatei como invasores estavam usando infraestrutura legítima para burlar as proteções de autenticação de e-mail ao enviar mensagens maliciosas disfarçadas de comunicações genuínas do suporte do PayPal . Naquela ocasião, o recurso de assinaturas de cobrança do PayPal estava sendo explorado por hackers em uma tentativa de roubar as credenciais da sua conta de usuário. Na época, um porta-voz do PayPal me disse: “O PayPal não tolera atividades fraudulentas e trabalhamos arduamente para proteger nossos clientes de golpes de phishing em constante evolução. Estamos mitigando ativamente esse problema e incentivamos as pessoas a estarem sempre vigilantes online e atentas a mensagens inesperadas. Se os clientes suspeitarem que são alvo de um golpe, recomendamos que entrem em contato diretamente com o Suporte ao Cliente pelo aplicativo do PayPal ou pela nossa página de Contato para obter assistência.”

Poucas semanas antes, relatei como um endereço de e-mail legítimo do PayPal estava sendo usado para enviar uma fatura no que ficou conhecido como o ataque ” não pague, não ligue “. A fatura falsa era referente a uma compra maior que o usuário não havia feito; essa era a isca. O chamariz era um número de telefone falso do suporte do PayPal para ligar e, assim, interromper o pagamento enquanto uma disputa era investigada. Isso é o que chamamos de ataque TOAD: Telephone-Oriented Attack Delivery (Ataque Orientado a Telefone), que envolve documentos aparentemente oficiais, exploração da urgência e um número de telefone controlado pelo adversário. O PayPal não ficou, e não fica, de braços cruzados; a empresa me explicou que responde à constante evolução das táticas e métodos de golpes, tomando medidas como uma combinação de investigações manuais e tecnologia para prevenir fraudes, incluindo ações proativas como limitar contas fraudulentas ou recusar transações de risco.

O PayPal encerrou o acesso do invasor e redefiniu as senhas das contas.

O PayPal informou que já bloqueou o acesso do invasor aos seus sistemas e que as senhas das contas dos usuários afetados (que já devem ter recebido um e-mail de notificação) foram redefinidas. Isso significa que você poderá precisar definir uma nova senha ao tentar acessar sua conta novamente.

“Estamos oferecendo a você dois anos de serviços gratuitos de monitoramento de crédito e restauração de identidade por meio da Equifax”, acrescentou o PayPal, o que, suspeito, será de pouco consolo para qualquer pessoa afetada.

Recomendações de segurança do PayPal

A notificação de violação de dados também continha recomendações para os afetados pelo incidente, na forma de boas práticas gerais de segurança. Sendo assim, trata-se de um lembrete oportuno para todos os usuários do PayPal, não apenas para os 100 impactados pela violação do PayPal Working Capital, sobre como se manterem o mais seguros possível ao usar suas contas e a internet em geral.

Utilize um nome de usuário e senha exclusivos para cada site e serviço.

Concordo que os nomes de usuário são frequentemente negligenciados, e todos nós já usamos o mesmo endereço de e-mail para tudo, mas nomes de usuário únicos adicionam uma camada extra de proteção contra ataques de preenchimento de credenciais. Senhas únicas e complexas são essenciais, e você pode fazer um teste de segurança de senhas para ver como a sua se sai.

Altere sua senha e quaisquer perguntas de segurança associadas caso detecte alguma atividade suspeita em sua conta.

Mais uma vez, um conselho sábio que leva segundos para ser executado, mas que pode evitar horas de dor de cabeça caso sua conta esteja sendo comprometida.

Quando houver links em um e-mail, você deve passar o cursor do mouse sobre eles para visualizar o URL de destino real e não deve clicar no link se não tiver certeza do URL ou site de destino.

Em geral, são conselhos sensatos, embora existam maneiras pelas quais os atacantes podem ocultar os verdadeiros destinos, mesmo assim. O melhor conselho, na minha humilde opinião, seria não clicar em links em e-mails ou mensagens de texto e sempre acessar um site usando seu navegador e um URL conhecido.

Preste atenção às mensagens que enfatizam a urgência e exigem ação imediata. Se tiver dúvidas ou quiser confirmar a autenticidade de mensagens urgentes, acesse sua conta do PayPal para visualizar as mensagens.

100% correto. Você deve sempre verificar essas afirmações acessando sua conta, usando seu navegador e links confiáveis, o que revelará se o que está sendo dito é verdade. Utilize apenas os métodos de suporte indicados pelo próprio site.

O PayPal nunca solicitará que você forneça o nome de usuário e a senha da sua conta do PayPal ou quaisquer fatores de autenticação, como um código único, por meio de uma ligação telefônica, mensagem de texto ou e-mail.

Não entre em pânico, siga as orientações anteriores e não forneça seus dados por telefone ou e-mail. É uma questão de bom senso, então siga essa regra, seja em relação ao PayPal ou a qualquer outra conta online.

Eu acrescentaria uma recomendação crucial que está faltando na lista: use uma chave de acesso sempre que essa opção estiver disponível.

Embora essa violação de dados não pareça ter afetado muitos usuários, o PayPal afirmou que os clientes devem permanecer vigilantes e revisar as informações de suas contas e históricos de transações.

Por Davey Winder Colaborador Sênior – Forbes

Clique e fale com representante oficial Netwrix

 

Veja também:

About mindsecblog 3450 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

DoD testa programa de recompensas de bugs

11/07/2022 mindsecblog Notícias 0

DoD testa programa de recompensas de bugs. O Departamento de Defesa está pilotando um programa pago de recompensas por bugs que termina hoje, julho de 2022 O Chief Digital and Artificial Intelligence Office Directorate for […]

LGPD & PRIVACY

Sistemas de Câmeras de monitoração inseguros permitem espionar sua casa

28/06/2018 mindsecblog LGPD & PRIVACY, Notícias 1

Sistemas de Câmeras de monitoração inseguros permitem espionar sua casa. Muitas marcas de webcams, câmeras de segurança, monitores de animais de estimação e bebês com sistemas de controle em nuvem permitem serem monitoradas por hackers. A […]

Notícias

Alerta de limpeza de dados do Atlassian Confluence

15/11/2023 mindsecblog Notícias 5

Alerta de limpeza de dados do Atlassian Confluence. Empresa emitiu comunicado crucial sobre o Confluence, uma ferramenta popular de colaboração e gerenciamento de documentos. No cenário digital atual, garantir a segurança e a integridade dos […]

Be the first to comment

Deixe sua opinião!