{"id":15666,"date":"2026-02-25T10:21:22","date_gmt":"2026-02-25T13:21:22","guid":{"rendered":"https:\/\/fenati.org.br\/?p=15666"},"modified":"2026-02-25T11:52:19","modified_gmt":"2026-02-25T14:52:19","slug":"falha-aplicativo-paypal-expoe-dados-clientes","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/falha-aplicativo-paypal-expoe-dados-clientes\/","title":{"rendered":"Falha em aplicativo do PayPal exp\u00f5e dados de clientes por meses"},"content":{"rendered":"<p><strong>PayPal &#8211;<\/strong> Uma falha de programa\u00e7\u00e3o no aplicativo PayPal Working Capital (PPWC) levou \u00e0 exposi\u00e7\u00e3o de dados pessoais de cerca de 100 clientes empresariais entre julho e dezembro de 2025. A vulnerabilidade permitiu o acesso a informa\u00e7\u00f5es sens\u00edveis por 165 dias consecutivos, at\u00e9 ser identificada e sanada pela companhia no fim do ano.<\/p>\n<p>De acordo com documentos encaminhados \u00e0 Securities and Exchange Commission (SEC) em fevereiro de 2026, o incidente teve origem em uma falha de c\u00f3digo no PPWC, ferramenta voltada \u00e0 concess\u00e3o de cr\u00e9dito para empresas. O epis\u00f3dio reacende o debate sobre governan\u00e7a e controles de seguran\u00e7a em plataformas financeiras digitais.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/novas-regras-do-vr-e-do-va\/\"><strong>LEIA: Justi\u00e7a derruba liminar que suspendia novas regras do VR e do VA<\/strong><\/a><\/p>\n<p>O problema esteve ativo entre 1\u00ba de julho e 13 de dezembro de 2025. Nesse intervalo, ficaram expostos dados como nome completo, n\u00famero de Seguro Social, data de nascimento, e-mails, telefones e endere\u00e7os comerciais.<\/p>\n<p>A empresa detectou a anomalia apenas em 12 de dezembro e realizou a revers\u00e3o do c\u00f3digo defeituoso no dia seguinte. Especialistas em ciberseguran\u00e7a apontam que o caso evidencia fragilidades em processos de valida\u00e7\u00e3o e testes antes da publica\u00e7\u00e3o de atualiza\u00e7\u00f5es em ambientes de produ\u00e7\u00e3o.<\/p>\n<p>A exposi\u00e7\u00e3o de n\u00fameros de Seguro Social \u00e9 considerada especialmente sens\u00edvel, pois se trata de um identificador permanente. Diferentemente de senhas, que podem ser trocadas, esse tipo de dado amplia o risco de fraude e roubo de identidade a longo prazo.<\/p>\n<h4>Transa\u00e7\u00f5es indevidas e medidas compensat\u00f3rias<\/h4>\n<p>Como reflexo direto da falha, algumas contas empresariais registraram movimenta\u00e7\u00f5es n\u00e3o autorizadas. O PayPal informou ter ressarcido integralmente os valores cobrados de forma indevida e redefinido compulsoriamente as senhas das contas impactadas.<\/p>\n<p>Al\u00e9m disso, a companhia disponibilizou dois anos de monitoramento de cr\u00e9dito gratuito por meio da Equifax aos clientes afetados. Embora comum em casos de vazamento, a medida representa custo adicional e refor\u00e7a a gravidade da exposi\u00e7\u00e3o de dados permanentes.<\/p>\n<p>O epis\u00f3dio ocorre em um contexto de grande escala operacional. Em 2024, o PayPal processou US$ 1,7 trilh\u00e3o em transa\u00e7\u00f5es e administrou 434 milh\u00f5es de contas ativas no mundo. Ainda assim, vulnerabilidades em aplica\u00e7\u00f5es secund\u00e1rias mostraram-se suficientes para comprometer informa\u00e7\u00f5es cr\u00edticas.<\/p>\n<h4>Incidentes anteriores e press\u00e3o regulat\u00f3ria<\/h4>\n<p>N\u00e3o \u00e9 a primeira vez que a empresa enfrenta problemas semelhantes. Em 2022, um ataque de credential stuffing comprometeu aproximadamente 35 mil contas, explorando a reutiliza\u00e7\u00e3o de credenciais vazadas em outras plataformas.<\/p>\n<p>A recorr\u00eancia de falhas tem chamado a aten\u00e7\u00e3o de reguladores. Em janeiro de 2025, o Departamento de Servi\u00e7os Financeiros de Nova York aplicou multa de US$ 2 milh\u00f5es \u00e0 companhia por descumprimento de normas de ciberseguran\u00e7a.<\/p>\n<p>O ambiente regulat\u00f3rio para fintechs e plataformas de pagamento digital tamb\u00e9m se tornou mais rigoroso globalmente, com legisla\u00e7\u00f5es como a <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Lei_Geral_de_Prote%C3%A7%C3%A3o_de_Dados_Pessoais\" rel=\"nofollow noopener\" target=\"_blank\">LGPD<\/a> no Brasil e o GDPR na Europa impondo exig\u00eancias elevadas de prote\u00e7\u00e3o de dados e prevendo san\u00e7\u00f5es financeiras relevantes em caso de descumprimento.<\/p>\n<h4>Li\u00e7\u00f5es para executivos de tecnologia<\/h4>\n<p>O caso oferece aprendizados importantes para lideran\u00e7as de TI e seguran\u00e7a da informa\u00e7\u00e3o. Um deles \u00e9 que aplica\u00e7\u00f5es consideradas perif\u00e9ricas podem concentrar dados altamente sens\u00edveis e, portanto, exigem o mesmo n\u00edvel de controle que produtos principais.<\/p>\n<p>Outro ponto central \u00e9 a gest\u00e3o de mudan\u00e7as. A falha de programa\u00e7\u00e3o sugere lacunas em revis\u00f5es de c\u00f3digo e testes pr\u00e9vios \u00e0 implementa\u00e7\u00e3o. Ambientes financeiros demandam pipelines de integra\u00e7\u00e3o e entrega cont\u00ednua (CI\/CD) com valida\u00e7\u00f5es automatizadas de seguran\u00e7a incorporadas.<\/p>\n<p>A demora de 165 dias para identificar o problema tamb\u00e9m indica poss\u00edveis falhas em monitoramento cont\u00ednuo. Ferramentas de preven\u00e7\u00e3o contra vazamento de dados (DLP) e an\u00e1lises comportamentais poderiam reduzir o tempo de exposi\u00e7\u00e3o ao detectar acessos an\u00f4malos.<\/p>\n<p>Nesse cen\u00e1rio, arquiteturas baseadas em zero-trust ganham relev\u00e2ncia, com controles de acesso granulares, segrega\u00e7\u00e3o de dados sens\u00edveis e verifica\u00e7\u00e3o constante de permiss\u00f5es.<\/p>\n<p>Para executivos de TI, o epis\u00f3dio refor\u00e7a que investimentos permanentes em seguran\u00e7a \u2014 como auditorias de c\u00f3digo, testes de invas\u00e3o e programas de bug bounty \u2014 deixaram de ser apenas exig\u00eancia regulat\u00f3ria e passaram a integrar a estrat\u00e9gia de neg\u00f3cio.<\/p>\n<p>Apesar da identifica\u00e7\u00e3o tardia, a resposta posterior incluiu corre\u00e7\u00e3o r\u00e1pida do erro, redefini\u00e7\u00e3o de credenciais e oferta de monitoramento de cr\u00e9dito, sinalizando capacidade de rea\u00e7\u00e3o. Ainda assim, o caso evidencia a necessidade de planos de resposta a incidentes atualizados, com pap\u00e9is bem definidos, comunica\u00e7\u00e3o estruturada e mecanismos de conten\u00e7\u00e3o previamente estabelecidos.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de It Show)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Incidente afetou clientes empresariais entre julho e dezembro de 2025 e levou ao registro de transa\u00e7\u00f5es n\u00e3o autorizadas<\/p>","protected":false},"author":11,"featured_media":15667,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[13],"class_list":["post-15666","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15666","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=15666"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15666\/revisions"}],"predecessor-version":[{"id":15668,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15666\/revisions\/15668"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/15667"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=15666"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=15666"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=15666"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}