Geld gestolen van 100 PayPal-klanten na datalek bij betaaldienst

Betaaldienst PayPal heeft een fout gemaakt en die komt 100 van zijn klanten duur te staan. Een half jaar lang waren er persoonsgegevens in te zien bij zijn zakelijke diensten en hier hebben kwaadwillenden gretig gebruik van gemaakt. 

Er werd in de zomer van 2025 een aanpassing gedaan aan de code en vervolgens zette PayPal een kiertje open voor kwaadwillenden om gegevens buit te maken. Het probleem kwam op 12 december aan het licht bij PayPal, maar het informeert klanten er nu pas over. PayPals Business Krediet-platform zou problemen hebben gehad, waardoor onder andere de naam, het mailadres, het telefoonnummer, het zakelijke adres, het burgerservicenummer en de geboortedatum van mensen online te vinden waren. 

Datalek bij PayPal

Nu kun je met die gegevens niet zo snel geld van iemands PayPal stelen, maar volgens de beredenering van PayPal tegenover BleepingComputer moet dat haast wel. PayPal stelt dat er geen inloggegevens zijn gestolen, maar desondanks zijn er bij een klein aantal klanten ongeautoriseerde transacties ontdekt. Klanten hebben dit geld inmiddels teruggekregen van PayPal en worden nu door een derde partij gemonitord om hun geld en identiteit te beschermen. Ook heeft de betaaldienst alle wachtwoorden van de getroffen accounts gereset.

PayPal schreef naar zijn klanten het volgende over de fout: “Op 12 december 2025 stelde PayPal vast dat door een fout in de leningaanvraag van PayPal Working Capital ('PPWC'), de persoonsgegevens (PII) van een klein aantal klanten tussen 1 juli 2025 en 13 december 2025 toegankelijk waren voor onbevoegde. PayPal heeft sindsdien de codewijziging die verantwoordelijk was voor deze fout teruggedraaid en hiermee de verdere blootstelling van persoonsgegevens voorkomen. Wij hebben deze melding niet uitgesteld vanwege enig onderzoek door wetshandhavingsinstanties." 

Credential stuffing

Het laatste grote datalek bij PayPal vond plaats in januari 2023, toen er 35.000 accounts in de problemen kwamen door een methode die credential stuffing heet. Hierbij gebruiken criminelen geautomatiseerde bots om inloggegevens die eerder bij andere datalekken openbaar werden te testen bij zoveel mogelijk sites. Het is de ultieme aanval waarvoor veiligheidstrainingen altijd waarschuwen: gebruik niet hetzelfde wachtwoord op meerdere plekken. Dat probleem speelt dus niet bij dit nieuwe datalek, al lijkt PayPal niet helemaal open te zijn over wat er nu precies is gebeurd.