PayPal scopre una violazione di dati legata a un errore nel codice dell’app di finanziamento

Una violazione di dati che poteva essere evitata

PayPal ha annunciato la scoperta di una violazione di dati durata sei mesi che ha esposto le informazioni personali di circa 100 clienti aziendali. La causa? Un semplice errore nel codice dell’applicazione PayPal Working Capital, il servizio che offre finanziamenti fino a 200.000 dollari per i nuovi richiedenti e 300.000 dollari per i clienti ricorrenti.

Se sei un utente PayPal, la buona notizia è che i sistemi principali dell’azienda non sono stati compromessi. La soluzione immediata è cambiare la password del tuo account e attivare l’autenticazione a due fattori per proteggere il tuo conto da accessi non autorizzati. PayPal sta offrendo due anni di monitoraggio gratuito dell’identità a tutti i clienti interessati.

Cosa è successo esattamente

L’errore nel codice è stato identificato per la prima volta il 12 dicembre 2025, ma la violazione era in corso dall’1 luglio al 13 dicembre 2025. Durante questo periodo, gli hacker hanno potuto accedere alle informazioni personali dei titolari di account aziendali, inclusi:

• Nome completo
• Indirizzo aziendale
• Indirizzo email
• Numero di telefono
• Numero di previdenza sociale
• Data di nascita

Alcuni clienti hanno subito anche transazioni fraudolente non autorizzate. PayPal ha immediatamente rimborsato questi clienti una volta scoperta l’attività sospetta.

Le azioni intraprese da PayPal

Una volta rilevata l’attività non autorizzata il 10 febbraio 2026, PayPal ha agito rapidamente:

1. Ha terminato immediatamente l’accesso non autorizzato ai suoi sistemi
2. Ha reimpostato le password di tutti gli account interessati
3. Ha implementato controlli di sicurezza potenziati che richiedono ai clienti di stabilire una nuova password al prossimo accesso
4. Ha ritirato il codice difettoso responsabile dell’errore
5. Ha notificato tutti i 100 clienti interessati

Come proteggerti da violazioni simili

Sebbene questa violazione sia stata limitata a un numero relativamente piccolo di utenti, è importante che tu sappia come proteggere il tuo account PayPal:

Abilita l’autenticazione a due fattori: PayPal offre diverse opzioni di autenticazione a due fattori che rendono molto più difficile per gli hacker accedere al tuo account, anche se conoscono la tua password:

• One-time password tramite SMS, WhatsApp o email
• Chiamate telefoniche automatizzate con codici di verifica
• App autenticatore (più sicura rispetto all’SMS)
• Passkey, che sono legati a dispositivi specifici e richiedono riconoscimento biometrico (impronta digitale o riconoscimento facciale)

Usa password uniche e forti: Non riutilizzare mai la stessa password su più siti. Se una piattaforma subisce una violazione, gli hacker potranno accedere a tutti i tuoi account.

Monitora il tuo account: Controlla regolarmente le transazioni del tuo account PayPal per individuare attività sospette.

Considera il monitoraggio dell’identità: Approfittare dell’offerta di PayPal di due anni di monitoraggio gratuito dell’identità.

Il contesto delle violazioni PayPal

Questa non è la prima volta che PayPal affronta una violazione di dati. Nel gennaio 2023, l’azienda ha notificato quasi 35.000 clienti di una violazione che si era verificata nel dicembre 2022. In quel caso, gli hacker avevano utilizzato una tecnica chiamata credential stuffing, in cui riutilizzano coppie di nome utente e password rubate da altre piattaforme.

PayPal ha chiarito che in quella occasione i dati non provenivano dai suoi sistemi, ma piuttosto da violazioni di altri servizi. Gli hacker avevano semplicemente provato a utilizzare le stesse credenziali su PayPal, contando sul fatto che molti utenti riutilizzano le stesse password.

Cosa rende PayPal un bersaglio

PayPal rimane uno dei giganti della fintech mondiale, avendo elaborato 1,7 trilioni di dollari nel 2024 con 434 milioni di account attivi e 31,8 miliardi di dollari di ricavi netti. Con una base di utenti così vasta e il valore dei dati finanziari, non è sorprendente che l’azienda sia un bersaglio attraente per i criminali informatici.

Technical Deep Dive

Analisi dell’errore nel codice

L’errore nel codice dell’applicazione PayPal Working Capital rappresenta un classico esempio di insecure coding practices. Sebbene PayPal non abbia divulgato i dettagli tecnici specifici dell’errore, è probabile che si sia trattato di una vulnerabilità di access control o authentication bypass.

Le cause comuni di tali errori includono:

Insufficient Authorization Checks: Il codice potrebbe non aver verificato adeguatamente i permessi dell’utente prima di esporre i dati personali sensibili. Questo è spesso il risultato di una insufficient input validation o di una missing authorization control.

Insecure Direct Object References (IDOR): Gli hacker potrebbero essere stati in grado di accedere ai dati di altri utenti modificando i parametri della richiesta (ad esempio, ID utente o numeri di account).

API Endpoint Exposure: L’endpoint API potrebbe essere stato esposto senza adeguate protezioni, consentendo l’accesso non autenticato ai dati sensibili.

Implementazione della sicurezza a livello di applicazione

Per prevenire vulnerabilità simili, le organizzazioni dovrebbero implementare:

Secure Coding Practices: Utilizzare framework di sicurezza consolidati, eseguire code reviews regolari e implementare static application security testing (SAST) nel processo di sviluppo.

Dynamic Security Testing: Eseguire dynamic application security testing (DAST) e penetration testing prima del rilascio in produzione.

Runtime Application Self-Protection (RASP): Implementare tecnologie RASP che possono rilevare e bloccare exploit in tempo reale.

Principle of Least Privilege: Garantire che il codice e i servizi abbiano solo i permessi minimi necessari per funzionare.

Credential Stuffing e protezione multi-fattore

Gli attacchi di credential stuffing rimangono uno dei vettori di attacco più efficaci contro i servizi finanziari. La ragione del loro successo è l’ampia prevalenza del password reuse tra gli utenti.

Autenticazione basata su Passkey: I passkey rappresentano un’evoluzione significativa rispetto alla MFA tradizionale. Sono crittograficamente legati a dispositivi specifici e richiedono autenticazione biometrica, rendendo praticamente impossibile il credential stuffing.

Hardware Security Keys: Per gli utenti ad alto rischio, le chiavi di sicurezza hardware (come FIDO2) offrono la protezione più forte contro il phishing e il credential stuffing.

Adaptive Authentication: Le soluzioni di autenticazione adattiva analizzano il comportamento dell’utente e la posizione geografica per rilevare tentativi di accesso sospetti.

Forensics e incident response

L’incident response di PayPal ha seguito un approccio strutturato:

1. Detection: Identificazione dell’attività non autorizzata il 10 febbraio 2026
2. Containment: Terminazione immediata dell’accesso non autorizzato
3. Eradication: Rollback del codice difettoso
4. Recovery: Reset delle password e implementazione di controlli potenziati
5. Lessons Learned: Implementazione di misure preventive future

Questo modello segue il framework NIST Cybersecurity Framework per la gestione degli incidenti di sicurezza.

Fonte: https://www.databreachtoday.com/paypal-ties-small-data-breach-fraud-to-app-coding-error-a-30830