本站由 Manus 全自動生成,並部署於 Cloudways 雲端主機,點擊連結即可免費試用。
全球支付巨頭 PayPal 在 2026 年 2 月,揭露了一項嚴重的數據外洩事件。受影響的項目,主要是針對小企業的 PayPal Working Capital 貸款應用程式。由於一個與代碼變更相關的軟體錯誤,導致大量客戶數據在 2025 年 7 月 1 日至 12 月 13 日期間,長達近半年的時間處於未經授權的曝險狀態,引發資安界的廣泛關注。
漏洞核心:代碼錯誤引發的敏感資訊大門敞開
這次外洩並非源於駭客攻擊,而是因為內部代碼變更產生的錯誤。外洩的資訊包含客戶姓名、電子郵件、電話號碼、商業地址、社會安全號碼(SSN)、出生日期等。PayPal 於 2025 年 12 月 12 日發現問題後,雖在一天內撤回了錯誤代碼並封鎖存取,但估計約有 100 名客戶受到直接影響,且系統已偵測到少數帳戶出現「未經授權」的交易。
後續補救:強制重設密碼與兩年免費信用監控
針對受影響的帳戶,PayPal 已主動退還未經授權的交易款項,並強制重設受影響用戶的密碼。為了彌補 SSN 外洩帶來的長期風險,PayPal 提供為期兩年的免費信用監控與身份修復服務(透過 Equifax 提供),符合資格的用戶需在 2026 年 6 月 30 日前完成登記。同時,PayPal 也發出警告,提醒用戶警惕隨之而來的釣魚攻擊,官方絕不會透過「電話」或「簡訊」要求提供密碼或驗證碼。
阿力的觀點:中心化金融機構的低級錯誤代價
阿力認為,這起事件再次敲響數位金融安全的警鐘。長達 6 個月的漏洞空窗期,顯示出即便是 PayPal 這樣規模的公司,在「內部代碼審核」與「異常偵測機制」上仍有巨大的盲點。特別是涉及到 SSN 這種不可更改的敏感資訊時,任何一個細小的代碼錯誤,都可能導致客戶面臨終身的身分盜用風險。
新聞資料來源
https://alternativeto.net/news/2026/2/paypal-breach-exposed-user-data-six-months-social-security-numbers-and-unauthorized-charges/
https://www.bleepingcomputer.com/news/security/paypal-discloses-data-breach-exposing-users-personal-information/