Stabilitas.id — Raksasa teknologi finansial global, PayPal, mengakui adanya kerentanan data pada aplikasi pinjaman PayPal Working Capital (PPWC) akibat kesalahan pengkodean (bug). Insiden ini menyebabkan data sensitif milik ratusan pelanggan terekspos selama lebih dari lima bulan, terhitung sejak Juli hingga Desember 2025.
Berdasarkan laporan TechRadar, kerentanan ini baru terdeteksi pada 12 Desember 2025. Data yang bocor mencakup informasi sensitif seperti nama pengguna, alamat email, nomor telepon, alamat bisnis, tanggal lahir, hingga nomor Jaminan Sosial (SSN).
“Kesalahan pengkodean aplikasi menyebabkan data beberapa pelanggan terekspos dan mengakibatkan sejumlah transaksi penipuan,” tulis konfirmasi resmi PayPal, dikutip Kamis (26/2/2026).
Modus Penipuan Canggih
Kebocoran ini dimanfaatkan oleh pelaku kejahatan untuk melancarkan aksi penipuan yang sangat meyakinkan. Dengan menguasai data kredensial asli, pelaku dapat menyamar sebagai tim resmi PayPal, sehingga mempersulit korban untuk membedakan antara pesan atau panggilan asli dengan upaya phishing.
PayPal mengakui bahwa beberapa nasabah telah mengalami transaksi tidak sah pada akun mereka. Namun, perusahaan menegaskan bahwa akses ilegal tersebut telah dicabut dan seluruh kerugian finansial yang dialami korban telah diganti secara penuh.
Langkah Mitigasi dan Pemulihan
Sebagai langkah perbaikan, PayPal telah mengganti seluruh kata sandi milik pengguna yang terdampak dan memperbaiki kode aplikasi yang menjadi sumber kebocoran. Selain itu, PayPal menawarkan layanan pemantauan kredit dan pemulihan identitas secara cuma-cuma selama dua tahun melalui Equifax.
“Kami terus melakukan investigasi manual dan menggunakan alat otomatis untuk memitigasi penipuan,” tambah pihak PayPal.
Insiden ini menambah daftar panjang tantangan keamanan siber bagi PayPal, setelah sebelumnya pada 2023 sebanyak 35.000 akun juga terdampak serangan credential stuffing. Para pengguna kini diimbau untuk meningkatkan kewaspadaan terhadap email masuk dan lebih berhati-hati saat mengeklik tautan atau mengunduh lampiran yang mencurigakan. ***
