Těžké přiznání oblíbené internetové platební služby PayPal. Únik dat zasáhl stovky lidí

Chyba v interním nástroji pro firemní financování odhalila citlivé údaje včetně rodných čísel. Někteří klienti zaznamenali neoprávněné pohyby na účtech.

Lukáš Altman (Mobify.cz) a PayPal

Americká platební služba PayPal potvrdila, že kvůli chybě v kódu unikly osobní údaje jejích klientů. Problém se týkal žádostí o podnikatelský úvěr a dle firmy mohl vést i k několika neoprávněným transakcím. Dle redakce Mobify to jen poukazuje na to, že i používání zavedené online platební služby může být rizikové, pokud dojde k selhání interních mechanismů ochrany dat.

Mezi uniklými daty byly veškeré informace k dalším podvodům

Incident s uniklými daty firmy PayPal se týká produktu PayPal Working Capital (PPWC). Je to nástroj pro podnikatele, kteří si mohou na základě historie prodejů přes PayPal zažádat o financování. Právě v rámci tohoto systému byla 12. prosince 2025 odhalena chyba v aplikaci, která dle společnosti existovala déle než pět měsíců, konkrétně od 1. července do 13. prosince 2025, uvedl TechRadar.

Kvůli této chybě mohly být zpřístupněny citlivé informace žadatelů. Mluvíme o uživatelských jménech, e-mailových adresách, telefonních číslech, firemních adresách, datech narození a v některých případech i číslech sociálního zabezpečení (SSN). Z pohledu kyberbezpečnosti je to obrovský průšvih. Umožňuje to totiž přesvědčivé phishingové útoky nebo pokusy o krádež identity.

Neoprávněné transakce společnost vyřešila vratkou

PayPal ve svém oznámení uvedl, že „několik zákazníků“ zaznamenalo i neoprávněné transakce na účtu. Přesné číslo firma nezveřejnila, nicméně minimálně sto zákazníků bylo osloveno ohledně této chyby, takže s jistotou lze mluvit o více jak stovce klientů, spíše stovkách. Společnost zdůraznila, že neoprávněný přístup byl zastaven, hesla resetována a peníze poškozeným vráceny, popsal Forbes.

Firma zdůraznila, že nedošlo k průniku do hlavních systémů PayPalu. Šlo „pouze“ o chybu v konkrétní části aplikace, ne o klasický hackerský útok zvenčí. I tak ale incident ukazuje, že slabé místo může vzniknout pouhou interní úpravou kódu. Dotčeným zákazníkům nabízí Paypal 2leté bezplatné monitorování úvěruschopnosti a ochranu identity společností Equifax. To je v podobných případech běžný postup.

Uniklá data lze využít k podvodům nebo otevření účtu

Únik takzvaných osobně identifikovatelných údajů (tedy PII – Personally Identifiable Information) je obzvláště nebezpečný. Tento pojem označuje informace, které je možné využít k jednoznačné identifikaci konkrétní osoby, vysvětluje americký Národní institut standardů a technologií (NIST).

Útočník tak může vytvořit velmi věrohodný e-mail, vydávat se přímo za PayPal nebo uživatele banku a přimět oběť k zadání přihlašovacích údajů. V horším scénáři lze na základě těchto dat zkusit otevřít nový účet anebo rovnou požádat o půjčku na dané jméno.

Přestože firma tvrdí, že její hlavní infrastruktura přímo napadena nebyla, uživatelé by měli zpozornět. Za redakci Mobify proto doporučujeme:

• Změnit heslo k účtu PayPal a zapnout dvoufázové ověření
• Pečlivě kontrolovat příchozí e-maily a neklikat na podezřelé odkazy
• Pravidelně kontrolovat pohyby na účtu a výpisy z banky