شش ماه افشای اطلاعات

شرکت جهانی پرداخت‌های دیجیتال پی‌پال به گروهی از مشتریان اطلاع داده است دربارهٔ یک حادثه افشای داده که تقریباً به مدت شش ماه در طول سال گذشته ادامه داشت. بر اساس گفتهٔ پی‌پال، این مشکل ناشی از نفوذ سیستم خارجی نبود بلکه به دلیل یک خطای برنامه‌نویسی نرم‌افزار در یک محصول خاص درخواست وام رخ داده بود. حتی با وجود اینکه پی‌پال تأکید کرد که زیرساخت اصلی آن امن باقی مانده است، شرکت اذعان کرد که داده‌های حساس شخصی متعلق به تعداد محدودی از کاربران برای مدت طولانی در دسترس افراد غیرمجاز قرار گرفته بود.

حادثه مربوط به برنامه وام پی‌پال ورکینگ کپیتال بود، یک خدمت مالی طراحی شده برای ارائه گزینه‌های سریع و انعطاف‌پذیر تأمین مالی به کسب‌وکارهای کوچک. از طریق پی‌پال، صاحبان کسب‌وکار می‌توانند برای پیش‌پرداخت سرمایه در گردش درخواست دهند و بازپرداخت‌ها را مستقیماً در حساب‌های خود مدیریت کنند. با این حال، به دلیل تغییر فنی در کد برنامه، برخی اطلاعات قابل شناسایی شخصی به صورت‌هایی قابل مشاهده شدند که قصد نشده بود. پی‌پال بعداً روشن کرد که این آسیب‌پذیری در اول ژوئیه ۲۰۲۵ ایجاد شد و تا ۱۲ دسامبر ۲۰۲۵ شناسایی نشده باقی مانده بود.

در طول آن بازه زمانی، اطلاعاتی مانند نام مشتریان، آدرس‌های ایمیل، شماره تلفن‌ها، آدرس‌های کسب‌وکار، شماره‌های تأمین اجتماعی و تاریخ تولد ممکن است افشا شده باشند. پی‌پال تأیید کرد که پس از کشف مشکل، مهندسان بلافاصله تغییر کد مسئول خطا را بازگرداندند. ظرف یک روز از شناسایی، پی‌پال پیکربندی معیوب را غیرفعال کرد و هرگونه دسترسی غیرمجاز دیگر به داده‌ها را مسدود نمود.

در نامه‌های اطلاع‌رسانی که به افراد تحت تأثیر ارسال شد، پی‌پال توضیح داد که افشا محدود به زیرمجموعه کوچکی از مشتریان بود که با پلتفرم ورکینگ کپیتال تعامل داشته‌اند. شرکت بیان کرد که افشای مسئله به دلیل تحقیقات اجرایی قضایی به تأخیر نیفتاده است. در عوض، پی‌پال اشاره کرد که تعهدات نظارتی مستلزم ارتباط به موقع هر زمان است که احتمال افشای داده‌های حساس وجود داشته باشد.

فراتر از افشای اطلاعات، پی‌پال همچنین تراکنش‌های غیرمجاز را شناسایی کرد که تعداد کمی از حساب‌های تحت تأثیر را در بر می‌گرفت. گزارش شده است که این تراکنش‌ها مستقیماً با حادثه مرتبط بودند. در پاسخ، پی‌پال بازپرداخت‌هایی به کاربران تحت تأثیر صادر کرد و اقدامات حفاظتی اضافی را برای جلوگیری از سوءاستفاده بیشتر اجرا نمود. پی‌پال تأکید کرد که حفاظت از مشتری همچنان محور اولویت‌های عملیاتی آن باقی می‌ماند.

برای کاهش آسیب احتمالی، پی‌پال دو سال خدمات نظارت اعتباری و بازیابی هویت رایگان از طریق یک آژانس بزرگ گزارش‌دهی اعتباری ارائه می‌دهد. مشتریان باید قبل از مهلت تعیین شده در این برنامه ثبت‌نام کنند تا مزایا فعال شود. با ارائه نظارت طولانی‌تر، پی‌پال هدف دارد خطرات بلندمدت ناشی از افشای داده‌های شخصی مانند شماره‌های تأمین اجتماعی را کاهش دهد.

علاوه بر نظارت اعتباری، پی‌پال رمزهای عبور تمام حساب‌هایی که به طور بالقوه تحت تأثیر قرار گرفته بودند را بازنشانی کرد. کاربرانی که هنوز اعتبارنامه‌های خود را تغییر نداده بودند، در ورود بعدی خود برای ایجاد رمز جدید راهنمایی شدند. پی‌پال همچنین به مشتریان یادآوری کرد که هرگز اطلاعات حساس تأیید هویت مانند رمز عبور یا کدهای یکبار مصرف را از طریق تماس تلفنی، ایمیل یا پیامک درخواست نمی‌کند. این یادآوری به ویژه اهمیت دارد زیرا تلاش‌های فیشینگ معمولاً پس از اعلام عمومی درباره حوادث داده افزایش می‌یابد.

تاریخچه شرکت شامل چالش‌های قبلی امنیت سایبری نیز می‌شود. در اوایل ۲۰۲۳، پی‌پال حادثه دیگری را افشا کرد که در آن ده‌ها هزار حساب به دلیل حملات پر کردن اعتبارنامه (credential stuffing) به خطر افتادند. در آن مورد قبلی، مهاجمان از ترکیب‌های نام کاربری و رمز عبور قبلاً افشا شده از خدمات دیگر برای دسترسی غیرمجاز به حساب‌های پی‌پال استفاده کردند. دو سال بعد، مقامات نظارتی در نیویورک به توافق مالی با پی‌پال در ارتباط با نگرانی‌های رعایت مقررات مرتبط با آن نفوذ قبلی رسیدند.

با وجود این رویدادهای گذشته، پی‌پال تأکید کرد که وضعیت فعلی ماهیت متفاوتی دارد. به گفته سخنگوی شرکت، سیستم‌های پی‌پال در این مورد توسط هکرها نفوذ نشده‌اند. در عوض، افشا ناشی از خطای سطح داخلی برنامه بود. تقریباً صد مشتری به طور بالقوه تحت تأثیر قرار گرفتند. پی‌پال مجدداً تأکید کرد که شفافیت هر زمان که حتی احتمال محدود افشای داده‌های شخصی وجود داشته باشد، لازم است.

از دیدگاه گسترده‌تر، این حادثه پیچیدگی حفظ امنیت پلتفرم‌های مالی دیجیتال در مقیاس وسیع را برجسته می‌کند. پی‌پال میلیون‌ها تراکنش را روزانه در بازارهای جهانی پردازش می‌کند. هر تغییر در کد برنامه، حتی آن که برای بهبود عملکرد طراحی شده باشد، می‌تواند آسیب‌پذیری‌های غیرمنتظره ایجاد کند. برای پی‌پال، این درس اهمیت تست دقیق، نظارت مداوم و پروتکل‌های پاسخ سریع به حوادث را تقویت می‌کند.

کاربران کسب‌وکار کوچک که به پی‌پال ورکینگ کپیتال متکی هستند، به این خدمت برای دسترسی سریع و مؤثر به نقدینگی وابسته‌اند. افشای موقت داده‌های شخصی ممکن است نگرانی‌هایی در میان کارآفرینانی که به پی‌پال اعتماد دارند ایجاد کند، اما پی‌پال حفظ کرده است که اقدامات اصلاحی به سرعت اجرا شده و ابزارهای نظارتی اضافی برای شناسایی بهتر ناهنجاری‌ها در آینده مستقر شده‌اند.

کارشناسان امنیت سایبری اغلب اشاره می‌کنند که هیچ پلتفرم دیجیتال از ریسک مصون نیست. شرکت‌هایی مانند پی‌پال باید بین نوآوری و کنترل‌های امنیتی تعادل برقرار کنند. همان‌طور که فناوری مالی تکامل می‌یابد، سطح حمله و پیچیدگی پلتفرم‌ها افزایش می‌یابد. پی‌پال همچنان در فناوری‌های حفاظتی، استانداردهای رمزگذاری و چارچوب‌های رعایت مقررات سرمایه‌گذاری می‌کند تا دفاع خود را تقویت کند.

در نهایت، موضع پی‌پال این است که در حالی که حادثه افشا جدی بود، اما محدود در گستره و سریعاً رسیدگی شده است. با ارائه خدمات جبران خسارت، بازپرداخت تراکنش‌های غیرمجاز و تقویت تدابیر داخلی، پی‌پال به دنبال بازسازی و حفظ اعتماد مشتریان است. این رویداد یادآوری می‌کند که شفافیت و اقدام سریع هنگام مدیریت اطلاعات حساس در اکوسیستم پرداخت دیجیتال که پی‌پال در آن فعالیت می‌کند، حیاتی است.