Destaque

Falha em aplicativo do PayPal expõe dados de clientes por meses

5 horas atrás

Falha em aplicativo do PayPal expõe dados de clientes por meses

PayPal – Uma falha de programação no aplicativo PayPal Working Capital (PPWC) levou à exposição de dados pessoais de cerca de 100 clientes empresariais entre julho e dezembro de 2025. A vulnerabilidade permitiu o acesso a informações sensíveis por 165 dias consecutivos, até ser identificada e sanada pela companhia no fim do ano.

De acordo com documentos encaminhados à Securities and Exchange Commission (SEC) em fevereiro de 2026, o incidente teve origem em uma falha de código no PPWC, ferramenta voltada à concessão de crédito para empresas. O episódio reacende o debate sobre governança e controles de segurança em plataformas financeiras digitais.

LEIA: Justiça derruba liminar que suspendia novas regras do VR e do VA

O problema esteve ativo entre 1º de julho e 13 de dezembro de 2025. Nesse intervalo, ficaram expostos dados como nome completo, número de Seguro Social, data de nascimento, e-mails, telefones e endereços comerciais.

A empresa detectou a anomalia apenas em 12 de dezembro e realizou a reversão do código defeituoso no dia seguinte. Especialistas em cibersegurança apontam que o caso evidencia fragilidades em processos de validação e testes antes da publicação de atualizações em ambientes de produção.

A exposição de números de Seguro Social é considerada especialmente sensível, pois se trata de um identificador permanente. Diferentemente de senhas, que podem ser trocadas, esse tipo de dado amplia o risco de fraude e roubo de identidade a longo prazo.

Transações indevidas e medidas compensatórias

Como reflexo direto da falha, algumas contas empresariais registraram movimentações não autorizadas. O PayPal informou ter ressarcido integralmente os valores cobrados de forma indevida e redefinido compulsoriamente as senhas das contas impactadas.

Além disso, a companhia disponibilizou dois anos de monitoramento de crédito gratuito por meio da Equifax aos clientes afetados. Embora comum em casos de vazamento, a medida representa custo adicional e reforça a gravidade da exposição de dados permanentes.

O episódio ocorre em um contexto de grande escala operacional. Em 2024, o PayPal processou US$ 1,7 trilhão em transações e administrou 434 milhões de contas ativas no mundo. Ainda assim, vulnerabilidades em aplicações secundárias mostraram-se suficientes para comprometer informações críticas.

Incidentes anteriores e pressão regulatória

Não é a primeira vez que a empresa enfrenta problemas semelhantes. Em 2022, um ataque de credential stuffing comprometeu aproximadamente 35 mil contas, explorando a reutilização de credenciais vazadas em outras plataformas.

A recorrência de falhas tem chamado a atenção de reguladores. Em janeiro de 2025, o Departamento de Serviços Financeiros de Nova York aplicou multa de US$ 2 milhões à companhia por descumprimento de normas de cibersegurança.

O ambiente regulatório para fintechs e plataformas de pagamento digital também se tornou mais rigoroso globalmente, com legislações como a LGPD no Brasil e o GDPR na Europa impondo exigências elevadas de proteção de dados e prevendo sanções financeiras relevantes em caso de descumprimento.

Lições para executivos de tecnologia

O caso oferece aprendizados importantes para lideranças de TI e segurança da informação. Um deles é que aplicações consideradas periféricas podem concentrar dados altamente sensíveis e, portanto, exigem o mesmo nível de controle que produtos principais.

Outro ponto central é a gestão de mudanças. A falha de programação sugere lacunas em revisões de código e testes prévios à implementação. Ambientes financeiros demandam pipelines de integração e entrega contínua (CI/CD) com validações automatizadas de segurança incorporadas.

A demora de 165 dias para identificar o problema também indica possíveis falhas em monitoramento contínuo. Ferramentas de prevenção contra vazamento de dados (DLP) e análises comportamentais poderiam reduzir o tempo de exposição ao detectar acessos anômalos.

Nesse cenário, arquiteturas baseadas em zero-trust ganham relevância, com controles de acesso granulares, segregação de dados sensíveis e verificação constante de permissões.

Para executivos de TI, o episódio reforça que investimentos permanentes em segurança — como auditorias de código, testes de invasão e programas de bug bounty — deixaram de ser apenas exigência regulatória e passaram a integrar a estratégia de negócio.

Apesar da identificação tardia, a resposta posterior incluiu correção rápida do erro, redefinição de credenciais e oferta de monitoramento de crédito, sinalizando capacidade de reação. Ainda assim, o caso evidencia a necessidade de planos de resposta a incidentes atualizados, com papéis bem definidos, comunicação estruturada e mecanismos de contenção previamente estabelecidos.

(Com informações de It Show)
(Foto: Reprodução/Freepik)

Caio Simidzu

Publicado por
Caio Simidzu
Tags: sindical
5 horas atrás

Postagem Relacionada

  • Polilaminina é aplicada pela primeira vez em paciente no Paraná
  • Justiça derruba liminar que suspendia novas regras do VR e do VA

    • Veja Também

    • Destaque

    Polilaminina é aplicada pela primeira vez em paciente no Paraná

    Substância foi aplicada pelo Hospital Universitário do Oeste do Paraná em paciente de 23 anos…

    3 minutos atrás
    • Destaque

    Maranhão destina R$ 6,5 milhões para impulsionar inovação tecnológica

    Programa voltado ao desenvolvimento de startups de base científica e tecnológica receberá R$ 4,5 milhões…

    11 minutos atrás
    • Destaque

    Funcionários da Uber podem ‘ensaiar’ reuniões com CEO com clone virtual da IA

    Ferramenta permite que funcionários testem apresentações antes de reuniões reais com o CEO da companhia

    27 minutos atrás