PayPal è stato "bucato" per 6 mesi e nessuno se n'è accorto: cosa è successo

Quando un servizio come PayPal parla di violazione dei dati, l’istinto è quello di controllare subito il conto. In questo caso, la società ha confermato un problema legato ai prestiti PayPal Working Capital (PPWC), con alcuni utenti che hanno visto comparire transazioni non autorizzate e si sono ritrovati con la password dell’account reimpostata.

La comunicazione ufficiale parla di un attore esterno che ha avuto accesso a informazioni personali per diversi mesi, prima che il problema venisse bloccato. Il numero di clienti coinvolti è limitato, ma la natura dei dati esposti rende la vicenda tutt’altro che banale.

Secondo la notifica di violazione, un soggetto non autorizzato ha ottenuto accesso ai sistemi legati a PayPal Working Capital, un servizio di prestiti (fortunatamente!) non disponibile in Italia, il 1° luglio 2025. L'accesso è proseguito fino al 12 dicembre 2025, quando PayPal ha individuato l'incidente di sicurezza e ha interrotto l'esposizione dei dati.

La società collega l'accaduto a un errore nel processo di richiesta dei prestiti PPWC, senza entrare nei dettagli tecnici oltre a citare una generica "modifica di codice". Le notifiche inviate agli utenti portano la data del 10 febbraio 2026, quindi la conferma ufficiale è arrivata a incidente chiuso da tempo.

Un portavoce di PayPal ha dichiarato a Forbes che i sistemi dell'azienda non sono stati compromessi, pur ammettendo che circa 100 clienti sono stati potenzialmente coinvolti e quindi avvisati. Nella stessa notifica, però, PayPal parla di "accesso non autorizzato ai sistemi", un dettaglio che lascia aperta una discrepanza ancora in attesa di chiarimenti.

Nella comunicazione verso i clienti, PayPal afferma di aver avviato un'indagine interna non appena scoperta l'attività sospetta e di aver adottato misure per impedire ulteriori accessi ai dati personali. Resta però la finestra di sei mesi in cui l'attaccante ha potuto muoversi indisturbato, un intervallo che per chi si occupa di sicurezza appare decisamente ampio.

La violazione ha potenzialmente esposto un set di informazioni personali piuttosto sensibile. Nella lista compaiono nome, indirizzo e-mail, numero di telefono, indirizzo dell’attività, numero di previdenza sociale (Social Security number) e data di nascita.

PayPal ha confermato che alcuni clienti hanno effettivamente subito transazioni non autorizzate sui propri conti. Il portavoce parla di un numero molto ridotto, pari a 100 utenti, per i quali la società ha già disposto i rimborsi delle operazioni fraudolente.

Oltre ai rimborsi, PayPal ha reimpostato le password degli account interessati. Chi rientra nel gruppo dei clienti coinvolti si trova quindi a dover scegliere una nuova password al successivo accesso, come ulteriore barriera contro utilizzi impropri delle credenziali.

Per mitigare gli effetti della violazione, PayPal offre anche due anni di monitoraggio del credito e servizi di ripristino dell’identità tramite Equifax. Un supporto che non cancella l’esposizione dei dati, ma che almeno fornisce strumenti aggiuntivi per intercettare eventuali abusi successivi.

L’incidente legato a PayPal Working Capital non arriva nel vuoto: nel tempo non sono mancati altri avvisi di sicurezza che hanno coinvolto il servizio. Nel 2023, ad esempio, un attacco di tipo credential stuffing aveva portato all’accesso non autorizzato a 34.942 account, sfruttando combinazioni di nome utente e password già compromesse altrove e riutilizzate dagli utenti.

Negli ultimi anni, diversi avvisi hanno riguardato soprattutto campagne di phishing che imitavano le comunicazioni ufficiali di PayPal. In un caso, gli attaccanti hanno sfruttato l’infrastruttura legittima delle sottoscrizioni di fatturazione per inviare messaggi che sembravano autentici, con l’obiettivo di carpire le credenziali di accesso.

Un altro episodio recente è il cosiddetto attacco “do not pay, do not phone”, basato su fatture false inviate da un indirizzo PayPal reale. Il messaggio mostrava un addebito elevato mai effettuato e invitava a chiamare un numero di assistenza fasullo per bloccare il pagamento, un classico schema TOAD (Telephone-Oriented Attack Delivery) che unisce urgenza, documenti apparentemente ufficiali e un canale telefonico controllato dagli attaccanti.

In risposta a queste ondate di truffe, PayPal ha ribadito di non tollerare attività fraudolente e di utilizzare una combinazione di indagini manuali e strumenti tecnologici per limitare gli account sospetti e rifiutare le transazioni rischiose. La violazione PPWC si inserisce quindi in un contesto dove la sicurezza resta un fronte di lavoro costante, più che un incidente isolato.

Nella notifica di violazione, PayPal ha incluso una serie di buone pratiche di sicurezza rivolte non solo agli utenti colpiti, ma a tutti i clienti. Il primo punto riguarda l'uso di nome utente e password unici per ogni sito o servizio, così da ridurre l'impatto di eventuali fughe di credenziali su altre piattaforme.

La società invita anche a cambiare la password e le eventuali domande di sicurezza non appena si nota un'attività sospetta sull'account. Intervenire rapidamente può limitare i danni in caso di accesso non autorizzato, soprattutto quando si parla di servizi collegati a pagamenti e conti bancari.

Per quanto riguarda le e-mail, PayPal suggerisce di passare il mouse sui link per verificare l'URL di destinazione e di evitare il clic se la destinazione non convince. Il consiglio si affianca all'attenzione verso i messaggi che giocano sulla urgenza e richiedono azioni immediate: in questi casi, la raccomandazione è di accedere direttamente al proprio conto PayPal tramite browser e controllare eventuali notifiche interne.

Un punto chiave delle linee guida riguarda la gestione delle richieste di credenziali: PayPal sottolinea che non chiede mai nome utente, password o codici monouso tramite telefonate, SMS o e-mail. Qualsiasi richiesta di questo tipo va quindi trattata come sospetta, indipendentemente da quanto convincente sembri il mittente.

In chiusura della comunicazione, PayPal ricorda ai clienti di restare vigili e di controllare regolarmente informazioni dell'account e storico delle transazioni per individuare movimenti anomali. E se pensate che 100 account compromessi siano pochi, pensate anche che la prossima volta potreste esserci voi e capirete che ignorare questi segnali significa solo regalare tempo prezioso a chi prova a sfruttare i dati esposti.

L'articolo PayPal è stato "bucato" per 6 mesi e nessuno se n'è accorto: cosa è successo sembra essere il primo su Smartworld.