PayPal lekte maandenlang gevoelige klantgegevens via kredietapp

PayPal heeft bekendgemaakt dat er maandenlang een datalek aanwezig was in de PayPal Working Capital (PPWC)-app. Via die app kunnen bedrijven werkkapitaal aanvragen.

Tussen 1 juli en 13 december 2025 kregen hackers toegang tot gevoelige klantgegevens door een fout in een update van de applicatie.

Welke gegevens zijn gelekt?

Volgens PayPal gaat het om onder meer:

• Namen

• E-mailadressen

• Adresgegevens

• Telefoonnummers

• Geboortedata

• Rijksregisternummers (of het Amerikaanse equivalent)

Het is niet duidelijk hoeveel klanten precies getroffen zijn. Ook blijft onduidelijk of Europese klanten slachtoffer zijn geworden. De communicatie die circuleert, richt zich voorlopig vooral op Amerikaanse klanten, inclusief kredietbescherming via Equifax.

Lek snel gedicht

PayPal zegt dat het lek één dag na ontdekking werd opgelost. De oorzaak was een programmeerfout die eerder in 2025 was geïntroduceerd. Daardoor konden kwaadwillenden persoonsgegevens uit kredietaanvragen inkijken.

Volgens het bedrijf is er ook effectief misbruik vastgesteld: bij een beperkt aantal klanten werden de gegevens gebruikt voor frauduleuze transacties. Zij kregen een terugbetaling.

Alle getroffen klanten kregen intussen een verplichte wachtwoordreset.

Verhoogd risico op phishing

PayPal waarschuwt dat gelekte persoonsgegevens kunnen worden gebruikt voor gerichte phishingaanvallen via telefoon, e-mail of sms.

Het bedrijf benadrukt dat het nooit zal vragen om wachtwoorden, 2FA-codes of andere inloggegevens te delen.

Voor slachtoffers van dit lek is extra waakzaamheid dus sterk aangeraden.