PayPal แจ้งเตือนลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหล หลังจากเกิดช่องโหว่ของซอฟต์แวร์ในระบบขอสินเชื่อ ซึ่งทำให้ข้อมูลส่วนบุคคลที่สำคัญของลูกค้า รวมถึง Social Security numbers ถูกเปิดเผยเป็นเวลานานเกือบ 6 เดือนเมื่อปีที่ผ่านมา
เหตุการณ์ดังกล่าวส่งผลกระทบต่อแอปพลิเคชั่นขอสินเชื่อ PayPal Working Capital (PPWC) ที่ช่วยให้ธุรกิจขนาดเล็กสามารถเข้าถึงแหล่งเงินทุนได้อย่างรวดเร็ว
PayPal ค้นพบข้อมูลรั่วไหล เมื่อวันที่ 12 ธันวาคม 2025 และพบว่าข้อมูลต่าง ๆ ของลูกค้าที่ถูกเปิดเผย ได้แก่ ชื่อ, email address, เบอร์โทรศัพท์, ที่อยู่ของธุรกิจ, หมายเลขประกันสังคม และวันเดือนปีเกิด โดยเริ่มมาตั้งแต่วันที่ 1 กรกฎาคม 2025
บริษัทระบุว่า ได้ทำการยกเลิกการเปลี่ยนแปลงโค้ดที่เป็นสาเหตุของเหตุการณ์ดังกล่าวแล้ว ซึ่งเป็นการระงับไม่ให้ผู้โจมตีเข้าถึงข้อมูลได้ภายในหนึ่งวันหลังจากที่ค้นพบว่ามีข้อมูลรั่วไหล
"PayPal ระบุว่า เหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อผู้ใช้งาน เมื่อวันที่ 12 ธันวาคม 2025 บริษัทได้ตรวจพบว่าช่องโหว่ในแอปพลิเคชันขอสินเชื่อ PayPal Working Capital ("PPWC") ทำให้ข้อมูลส่วนบุคคล (PII) ของลูกค้าจำนวนหนึ่งได้ถูกเปิดเผยต่อบุคคลที่ไม่ได้รับอนุญาตในช่วงระหว่างวันที่ 1 กรกฎาคม 2025 ถึง 13 ธันวาคม 2025"
"ตั้งแต่นั้นเป็นต้นมา PayPal ได้ทำการยกเลิกการเปลี่ยนแปลงโค้ดที่เป็นต้นเหตุของช่องโหว่ดังกล่าว ซึ่งเป็นสาเหตุให้ข้อมูลส่วนบุคคล (PII) ถูกเปิดเผย ทั้งนี้ บริษัทไม่ได้ชะลอการแจ้งเตือนนี้อันเนื่องมาจากการสืบสวนของหน่วยงานบังคับใช้กฎหมายใด ๆ"
นอกจากนี้ PayPal ยังตรวจพบการทำธุรกรรมที่ไม่ได้รับอนุญาตในบัญชีของลูกค้าจำนวนหนึ่งซึ่งเป็นผลโดยตรงจากเหตุการณ์ดังกล่าว และได้ทำการคืนเงินให้กับผู้ที่ได้รับผลกระทบแล้ว
ทางบริษัทได้เสนอให้ผู้ที่ได้รับผลกระทบสามารถใช้บริการ free three-bureau credit monitoring และบริการ identity restoration ผ่าน Equifax ได้ฟรีเป็นเวลาสองปี โดยจะต้องลงทะเบียนเข้าร่วมภายในวันที่ 30 มิถุนายน 2026
ขอแนะนำให้ลูกค้าที่ได้รับผลกระทบเฝ้าติดตามรายงานเครดิต และความเคลื่อนไหวในบัญชีของตนเพื่อตรวจสอบการทำธุรกรรมที่น่าสงสัย ทั้งนี้ PayPal ได้ย้ำเตือนผู้ใช้งานว่าบริษัทไม่มีนโยบายขอรหัสผ่านบัญชี, รหัสผ่าน OTP หรือข้อมูลสำหรับการยืนยันตัวตนอื่น ๆ ผ่านทางโทรศัพท์, ข้อความ หรืออีเมล ซึ่งเป็นกลยุทธ์ที่พบบ่อยในการโจมตีแบบ Phishing
นอกจากนี้ PayPal ยังได้ทำการรีเซ็ตรหัสผ่านสำหรับบัญชีที่ได้รับผลกระทบทั้งหมด และระบุว่าระบบจะแจ้งให้ผู้ใช้งานสร้างรหัสผ่านเข้าสู่ระบบใหม่ในการเข้าสู่ระบบครั้งถัดไป หากผู้ใช้งานยังไม่ได้ดำเนินการดังกล่าว
ในเดือนมกราคมปี 2023 PayPal ได้แจ้งเตือนลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลอีกเหตุการณ์หนึ่ง หลังจากเกิดการโจมตีแบบ Credential Stuffing ครั้งใหญ่ ซึ่งทำให้บัญชีจำนวน 35,000 บัญชีถูกโจมตีในช่วงระหว่างวันที่ 6 - 8 ธันวาคม 2022
สองปีต่อมา ในเดือนมกราคมปี 2025 รัฐนิวยอร์กได้ประกาศข้อตกลงยอมความมูลค่า 2,000,000 ดอลลาร์กับ PayPal จากข้อกล่าวหาที่ว่าบริษัทละเลยการปฏิบัติตามกฎระเบียบด้านความปลอดภัยทางไซเบอร์ของรัฐ ซึ่งนำไปสู่เหตุการณ์ข้อมูลรั่วไหลในปี 2022
Update วันที่ 20 กุมภาพันธ์ เวลา 23:38 น.
โฆษกของ PayPal ระบุว่า "เมื่อมีความเป็นไปได้ที่ข้อมูลของลูกค้าอาจถูกเปิดเผย PayPal มีหน้าที่ต้องแจ้งให้ลูกค้าที่ได้รับผลกระทบรับทราบ ในกรณีนี้ ระบบของ PayPal ไม่ได้ถูกโจมตีแต่อย่างใด ดังนั้น เราจึงได้ติดต่อไปยังลูกค้าประมาณ 100 รายที่อาจได้รับผลกระทบเพื่อให้พวกเขารับทราบถึงเรื่องนี้"
ที่มา : bleepingcomputer
You must be logged in to post a comment.