PayPal mengungkap kebocoran data yang mengekspos informasi pengguna selama 6 bulan

 (bleepingcomputer.com)
2 poin oleh GN⁺ 2026-02-22 | 1 komentar | Bagikan ke WhatsApp
  • Karena kesalahan pada sistem pengajuan pinjaman, data pribadi sensitif pelanggan terekspos ke pihak luar selama sekitar 6 bulan
  • Informasi yang terekspos mencakup nama, email, nomor telepon, alamat usaha, nomor jaminan sosial, tanggal lahir
  • PayPal memblokir akses dengan membatalkan perubahan kode sehari setelah masalah ditemukan, dan memberikan pengembalian dana untuk transaksi tidak sah pada sebagian akun
  • Kepada pelanggan terdampak, perusahaan menyediakan layanan pemantauan kredit selama 2 tahun dan pemulihan identitas melalui Equifax secara gratis
  • Perusahaan menjelaskan tidak ada pembobolan sistem, dan hanya data sekitar 100 pelanggan yang terekspos

Ringkasan kebocoran data

  • Informasi pelanggan terekspos ke pihak luar akibat bug perangkat lunak pada PayPal Working Capital (aplikasi pinjaman)
    • Periode paparan dikonfirmasi berlangsung dari 1 Juli 2025 hingga 13 Desember 2025
    • Data yang terekspos mencakup nama, email, nomor telepon, alamat usaha, nomor jaminan sosial, dan tanggal lahir
  • PayPal menemukan masalah ini pada 12 Desember 2025, lalu membatalkan perubahan kode keesokan harinya untuk memblokir akses
  • Perusahaan menyatakan bahwa akibat bug ini, informasi pribadi (PII) sejumlah kecil pelanggan terekspos kepada pihak yang tidak berwenang

Langkah penanganan dan perlindungan pelanggan

  • PayPal memberikan pengembalian dana kepada sebagian pelanggan yang mengalami transaksi tidak sah
  • Kepada pelanggan terdampak, PayPal menyediakan layanan pemantauan tiga biro kredit dan pemulihan identitas dari Equifax secara gratis selama 2 tahun
    • Batas akhir pendaftaran layanan adalah 30 Juni 2026
  • Kata sandi semua akun yang terdampak telah direset, dan saat login berikutnya pengguna diwajibkan membuat kredensial baru
  • Pelanggan dianjurkan untuk memantau laporan kredit dan aktivitas akun
  • PayPal kembali menegaskan bahwa mereka tidak meminta kata sandi atau kode autentikasi melalui telepon, SMS, atau email

Sikap perusahaan dan penjelasan tambahan

  • Setelah artikel diperbarui, juru bicara PayPal menyatakan bahwa sistem itu sendiri tidak dibobol
    • Pelanggan yang terekspos berjumlah sekitar 100 orang, dan perusahaan menekankan bahwa ini adalah paparan akibat bug kode, bukan intrusi ke sistem
    • Ia menjelaskan, “Jika ada kemungkinan informasi pelanggan terekspos, ada kewajiban hukum untuk memberikan pemberitahuan.”
  • Artinya, sistem keamanan tetap utuh, tetapi data dapat dilihat dari luar karena cacat pada kode

Insiden serupa di masa lalu

  • Pada Desember 2022, pernah terjadi serangan credential stuffing skala besar yang membobol 35.000 akun
  • Pada Januari 2025, pemerintah negara bagian New York menjatuhkan penyelesaian senilai 2 juta dolar AS kepada PayPal terkait insiden tersebut
    • Saat itu PayPal dikenai sanksi karena tidak mematuhi regulasi keamanan siber negara bagian

Ringkasan reaksi komunitas

  • Sebagian pengguna mempertanyakan, “Jika sistem tidak dibobol, mengapa data bisa bocor?”
  • Sebagai penjelasan, muncul analogi bahwa “sistem keamanannya aman seperti brankas, tetapi pintunya terbuka karena bug kode
    • Dengan kata lain, ini dipahami sebagai kasus data terekspos ke luar bukan karena peretasan, melainkan karena kesalahan pada kode pengembangan

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-22
Komentar Hacker News
  • Hampir 20 tahun lalu, PayPal pernah mengambil $15 milik saya tanpa alasan
    Setelah membeli satu game lalu membiarkan sisa uangnya selama 6 bulan, saat saya mencoba memakainya di eBay akun saya langsung dikunci
    Mereka bahkan meminta identitas yang dinotarisasi, jadi saya menyerah begitu saja. Sejak saat itu saya bertekad “tidak akan pernah memakainya lagi”, dan sampai sekarang tidak pernah menyesal sedikit pun
    Setiap tahun selalu muncul insiden baru, dan itu membuat saya merasa keputusan saat itu memang benar
    Suatu hari nanti saya berharap seseorang mengajukan gugatan besar terhadap perusahaan ini sampai ditutup
    • Saya pernah melihat postingan di Reddit tentang “PayPal membekukan uang saya sebesar $600.000”
      Ternyata itu kisah Notch saat menjual versi alpha Minecraft di situs pribadinya. Waktu itu benar-benar terlihat seperti penipuan
    • Saya kira perusahaan tidak boleh mengambil keuntungan dari uang yang terbengkalai
      Biasanya uang seperti ini dipindahkan ke lembaga aset tak diklaim milik pemerintah negara bagian
      Kalau begitu, ini mungkin bukan soal keserakahan melainkan sekadar ketidakmampuan
    • Saya juga pernah mencoba mendaftar PayPal untuk urunan hadiah rekan kerja, tapi begitu verifikasi bank selesai akun langsung dikunci
      Karena saya diminta menelepon layanan pelanggan dan mengirim scan identitas, saya langsung menghapus akun dan menggantinya dengan gift card digital
    • PayPal punya posisi monopolistik, dan nyaris tidak ada alternatif yang benar-benar setara
  • Dulu di internet, PayPal adalah metode pembayaran paling tepercaya
    Tapi sekarang bisa digantikan oleh Stripe, Plaid, Google Pay, Apple Pay, dan lain-lain, sementara PayPal lambat dan dukungannya juga berantakan
    Dari sudut pandang konsumen, tidak ada lagi alasan untuk memakainya
    • Meski begitu, saya pernah berhasil mendapat refund saat tertipu berkat fitur G&S (Goods & Services)
      F&F (Friends & Family), Venmo, atau Zelle tidak punya perlindungan seperti itu, jadi lebih berisiko
    • PayPal masih punya struktur biaya micropayment yang menguntungkan
      Misalnya di ardour.org ada ribuan pembayaran $1 per bulan, dan PayPal menghemat 23 sen per transaksi
    • Stripe dan Plaid dukungan negaranya terbatas
      PayPal masih punya pengenalan merek global yang kuat
    • Kalau saya bayar di Best Buy dengan kartu kredit saya, transaksinya selalu dibatalkan, tapi lewat PayPal selalu lolos tanpa masalah
      Sepertinya karena algoritme deteksi penipuan
    • Dulu PayPal adalah satu-satunya cara mudah untuk pembayaran internasional
      Stripe pernah hanya tersedia di AS
  • Menurut artikel, PayPal mengatakan mereka “telah mengembalikan perubahan kode yang menyebabkan kesalahan, dan penundaan pemberitahuan bukan karena investigasi penegak hukum”
    Tapi alasan di balik penundaan 2 bulan itu tetap tidak jelas
    Setidaknya mereka bisa lebih dulu mengungkap fakta kebocoran datanya
    • Pernyataan “bukan karena investigasi penegak hukum” adalah penyangkalan yang terlalu spesifik hingga terasa mencurigakan
      Itu hanya berarti “bukan karena investigasi”, bukan berarti tidak ada alasan lain untuk menunda — misalnya karena “malu”
    • Kalau itu terjadi tepat sebelum Natal? Saya rasa mereka jelas tidak akan mengumumkannya pada saat itu
  • Ungkapan “sistem kami tidak diretas” adalah framing yang sangat licik
    Ada bug kode yang mengekspos SSN selama 6 bulan, tapi karena tidak ada penyusup dari luar, itu disebut “bukan pelanggaran”
    Pola serupa terus berulang di Firebase, Supabase, aplikasi pinjaman, dan lainnya
    Entah itu peretasan atau pintunya dibiarkan terbuka, bagi korban hasilnya tetap sama
  • Saya baru-baru ini mencoba mendaftar PayPal, tapi gagal karena prosedur verifikasi yang kacau
    Melihat kemampuan mereka mendapatkan pelanggan pada level seperti ini, insiden keamanan juga jadi tidak mengejutkan
    • Belakangan ini pendaftaran baru atau pemulihan akun yang lama tidak dipakai makin sulit
      Masalahnya ada pada otomatisasi berlebihan dan prosedur verifikasi yang intrusif
      Saya mencoba membayarkan Minecraft untuk anak saya lewat akun Microsoft, tapi dari login sampai pembayaran semuanya terhalang verifikasi aneh dan error
      Pada akhirnya keamanan mendominasi pengalaman pengguna
  • Ada kalimat bahwa korban akan diberi layanan pemantauan kredit Equifax selama 2 tahun. Penanganan yang sangat “berkelas”
    • Mengingat insiden kebocoran data Equifax 2017, ini terasa ironis
    • Kebanyakan perusahaan tampaknya berpikir, “meski terjadi insiden keamanan, cukup beri pemantauan kredit lalu selesai”
      Korban sulit mengajukan gugatan yang benar-benar berarti, dan pada akhirnya lewat class action yang untung hanya pengacaranya
  • Di Eropa, saya berharap WERO bisa menggantikan PayPal. Namanya memang agak lucu
    • Wero pada dasarnya tidak berbeda dari transfer SEPA yang sudah ada
      PayPal setidaknya masih punya perlindungan pembeli
    • Dari toko-toko yang sering saya gunakan, belum ada satu pun yang mendukung Wero
  • Ada yang bertanya, “siapa di PayPal yang akan masuk penjara karena insiden ini?”
    • Saya juga dulu pernah berpikir begitu, tapi sekarang saya sadar bahwa korporasi berada di atas hukum
      Membayar denda lebih murah daripada mematuhi hukum, dan dunia politik juga tidak mampu mengejar perkembangan teknologi
      Pada akhirnya perlindungan konsumen dikesampingkan
    • Tapi kalau ini murni kecelakaan karena bug, menurut saya sampai harus masuk penjara itu berlebihan
      Semua orang bisa berbuat salah, dan kalau itu kesalahan tanpa niat jahat, yang dibutuhkan adalah perbaikan, bukan hukuman
  • Baru saja saya mencoba login dan muncul permintaan “reset password”, lalu setelah captcha halamannya malah macet
    Akhirnya akun saya benar-benar terkunci. Hebat sekali, PayPal
  • Seseorang pernah membuat akun PayPal untuk pembayaran konten dewasa memakai email saya, jadi bahkan setelah saya dewasa pun saya tetap tidak bisa mendaftar dengan email itu
    PayPal mengizinkan pembayaran tanpa verifikasi email
    Saya sudah menghubungi layanan pelanggan, tapi hanya diberi jawaban “tidak ada cara”
    Karena itu saya hanya memakai Stripe, Link, atau pembayaran langsung dengan kartu kredit
    Di Kanada, sejak 2003 orang sudah bisa kirim uang tanpa biaya lewat e-Transfer, jadi PayPal sama sekali tidak dibutuhkan