PayPal Ungkap Kebocoran Data, Informasi Sensitif Pengguna Terekspos Selama Enam Bulan
Perusahaan teknologi finansial global, PayPal, mengumumkan insiden kebocoran data yang berdampak pada sejumlah pengguna akibat kesalahan perangkat lunak dalam aplikasi pinjaman PayPal Working Capital (PPWC). Gangguan tersebut menyebabkan data pribadi sensitif terekspos selama hampir enam bulan pada tahun lalu.
Insiden ini pertama kali terdeteksi pada 12 Desember 2025. Setelah dilakukan investigasi internal, PayPal menemukan bahwa sejak 1 Juli 2025 hingga 13 Desember 2025, informasi identitas pribadi (Personally Identifiable Information/PII) milik sejumlah pelanggan dapat diakses oleh pihak yang tidak berwenang.
Kesalahan Kode Picu Paparan Data Sensitif
Aplikasi PPWC sendiri dirancang untuk memberikan akses pembiayaan cepat bagi pelaku usaha kecil. Namun, perubahan kode dalam sistem aplikasi tersebut memicu celah yang memungkinkan data pelanggan terekspos.
Informasi yang terdampak mencakup nama lengkap, alamat email, nomor telepon, alamat bisnis, nomor Jaminan Sosial (Social Security Number/SSN), serta tanggal lahir. PayPal menyatakan telah segera membatalkan perubahan kode yang menyebabkan kesalahan tersebut sehari setelah insiden teridentifikasi, sekaligus memblokir potensi akses lebih lanjut.
Perusahaan menegaskan bahwa pemberitahuan kepada pelanggan tidak tertunda akibat penyelidikan aparat penegak hukum.
Sekitar 100 Pengguna Terdampak
Dalam pembaruan setelah pengumuman awal, juru bicara PayPal menjelaskan bahwa sistem inti perusahaan tidak diretas. Insiden ini disebut sebagai paparan data akibat kesalahan internal, bukan peretasan sistem secara langsung.
Menurut pernyataan resmi, sekitar 100 pelanggan yang berpotensi terdampak telah dihubungi untuk diberikan pemberitahuan dan edukasi terkait langkah mitigasi.
Transaksi Tidak Sah dan Layanan Pemantauan Kredit
PayPal juga mengungkap bahwa sejumlah kecil akun mengalami transaksi tidak sah sebagai dampak langsung dari insiden tersebut. Perusahaan menyatakan telah mengembalikan dana kepada pelanggan yang terdampak.
Sebagai bentuk perlindungan tambahan, PayPal menawarkan layanan pemantauan kredit tiga biro serta layanan pemulihan identitas gratis selama dua tahun melalui Equifax. Pelanggan yang memenuhi syarat diwajibkan mendaftar sebelum 30 Juni 2026 untuk memanfaatkan fasilitas ini.
Selain itu, perusahaan telah melakukan reset kata sandi pada seluruh akun yang terdampak. Pengguna yang belum memperbarui kredensial akan diminta membuat kata sandi baru saat login berikutnya.
PayPal juga mengingatkan pelanggan agar waspada terhadap upaya phishing yang sering meningkat setelah pengumuman kebocoran data. Perusahaan menegaskan bahwa mereka tidak pernah meminta kata sandi, kode verifikasi satu kali (OTP), atau informasi autentikasi lainnya melalui telepon, pesan teks, maupun email.
Riwayat Insiden Keamanan Sebelumnya
Ini bukan kali pertama PayPal menghadapi persoalan keamanan siber. Pada Januari 2023, perusahaan mengungkap insiden credential stuffing yang mengompromikan sekitar 35.000 akun antara 6 hingga 8 Desember 2022.
Dua tahun kemudian, pada Januari 2025, otoritas Negara Bagian New York mengumumkan penyelesaian senilai 2 juta dolar AS terkait dugaan ketidakpatuhan PayPal terhadap regulasi keamanan siber negara bagian tersebut, yang dinilai berkontribusi terhadap insiden tahun 2022.
Kasus terbaru ini kembali menyoroti pentingnya pengawasan ketat terhadap perubahan kode dan tata kelola keamanan data, terutama bagi perusahaan finansial yang menangani informasi identitas sensitif dalam skala besar.
