PayPal, kullanıcı bilgilerinin 6 ay boyunca açığa çıktığı veri ihlalini açıkladı

 (bleepingcomputer.com)
2 puan yazan GN⁺ 2026-02-22 | 1 yorum | WhatsApp'ta paylaş
  • Kredi başvuru sistemindeki bir hata nedeniyle müşterilerin hassas kişisel bilgileri yaklaşık 6 ay boyunca dışarıya açık kaldı
  • Açığa çıkan bilgiler arasında ad, e-posta, telefon numarası, iş yeri adresi, sosyal güvenlik numarası, doğum tarihi yer alıyor
  • PayPal, sorunu tespit ettikten sonraki gün kod değişikliğini geri alarak erişimi engelledi ve bazı hesaplardaki yetkisiz işlemler için iade süreci başlattı
  • Etkilenen müşterilere Equifax üzerinden 2 yıl boyunca kredi izleme ve kimlik kurtarma hizmeti ücretsiz sunuluyor
  • Şirket, sistemin ihlal edilmediğini ve yalnızca yaklaşık 100 müşterinin verisinin açığa çıktığını söyledi

Veri ihlaline genel bakış

  • PayPal Working Capital (kredi uygulaması) yazılımındaki bir hata nedeniyle müşteri bilgileri dışarıya açık hale geldi
    • Açığa çıkma süresinin 1 Temmuz 2025 ile 13 Aralık 2025 arasında olduğu belirlendi
    • Açığa çıkan bilgiler arasında ad, e-posta, telefon numarası, iş yeri adresi, sosyal güvenlik numarası ve doğum tarihi bulunuyor
  • PayPal, sorunu 12 Aralık 2025 tarihinde tespit etti ve ertesi gün kod değişikliğini geri alarak erişimi engelledi
  • Şirket, bu hata nedeniyle az sayıdaki müşterinin kişisel olarak tanımlanabilir bilgilerinin (PII) yetkisiz erişime maruz kaldığını belirtti

Müdahale adımları ve müşteri koruması

  • PayPal, yetkisiz işlem gerçekleşen bazı müşterilere iade sundu
  • Etkilenen müşterilere Equifax'ın 3 büyük kredi bürosu izleme ve kimlik kurtarma hizmeti 2 yıl boyunca ücretsiz sağlanıyor
    • Hizmete kayıt için son tarih 30 Haziran 2026
  • Etkilenen tüm hesapların parolaları sıfırlandı ve bir sonraki girişte yeni kimlik bilgileri oluşturulması isteniyor
  • Müşterilere kredi raporlarını ve hesap hareketlerini izlemeleri tavsiye edildi
  • PayPal, telefon, SMS veya e-posta yoluyla parola ya da doğrulama kodu istemediğini bir kez daha vurguladı

Şirketin açıklaması ve ek detaylar

  • Haberin güncellenmesinin ardından, bir PayPal sözcüsü sistemin kendisinin ihlal edilmediğini açıkladı
    • Etkilenen müşteri sayısının yaklaşık 100 olduğu, bunun sistem sızması değil kod hatasından kaynaklanan bir açığa çıkma olduğu vurgulandı
    • “Müşteri bilgilerinin açığa çıkmış olma ihtimali varsa, yasal olarak bildirim yükümlülüğümüz var” açıklaması yapıldı
  • Yani güvenlik sistemi korunuyordu ancak kod kusuru nedeniyle verilere dışarıdan erişilebiliyordu

Geçmişteki benzer olaylar

  • Aralık 2022'de, büyük çaplı bir credential stuffing saldırısı sonucunda 35.000 hesap ihlal edilmişti
  • Ocak 2025'te, New York eyalet yönetimi bu olayla bağlantılı olarak PayPal'a 2 milyon dolarlık uzlaşma cezası verdi
    • O dönemde PayPal'ın eyalet siber güvenlik düzenlemelerine uymadığı gerekçesiyle yaptırım uygulandı

Topluluk tepkilerinin özeti

  • Bazı kullanıcılar, “Sistem ihlal edilmediyse veriler neden sızdı?” sorusunu yöneltti
  • Buna açıklama olarak, “Güvenlik sistemi kasa gibi sağlamdı ama kod hatası nedeniyle kapı açıktı” benzetmesi yapıldı
    • Yani bu olay, hackleme değil geliştirme kodundaki bir hata nedeniyle bilgilerin dışarıya açık hale gelmesi olarak yorumlandı

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-22
Hacker News görüşleri
  • Neredeyse 20 yıl önce PayPal hiçbir sebep yokken benden 15 dolar almıştı
    Bir oyunu bir kez satın alıp kalan parayı 6 ay boyunca bıraktıktan sonra eBay'de kullanmaya çalışınca hesabım anında kilitlendi
    Noter onaylı kimlik bile isteyince vazgeçtim. O günden sonra “bir daha asla kullanmam” diye karar verdim ve bugüne kadar buna hiç pişman olmadım
    Her yıl yeni olaylar patlak verdikçe o zamanki kararımın doğru olduğunu düşünüyorum
    Bir gün birinin bu şirkete karşı büyük bir dava açıp onu kapatmasını umuyorum
    • Bir zamanlar Reddit'te “PayPal paramdaki 600 bin doları kilitledi” diye bir gönderi görmüştüm
      Sonradan bunun, Notch'un Minecraft alfa sürümünü kişisel web sitesinde sattığı döneme ait olduğunu öğrendim. O zamanlar gerçekten dolandırıcılık gibi görünüyordu
    • Şirketlerin sahipsiz bırakılmış paradan kâr elde edemeyeceğini sanıyordum
      Normalde böyle paraların eyalet yönetiminin sahipsiz varlık kurumuna devredildiğini düşünüyordum
      Öyleyse bu açgözlülükten çok basit bir beceriksizlik meselesi olabilir
    • Ben de iş arkadaşları için hediye parası toplamak amacıyla PayPal'a kaydolmayı denemiştim ama banka doğrulamasını tamamlar tamamlamaz hesabım kilitlendi
      Müşteri hizmetlerini aramam ve kimliğimin taramasını göndermem istenince hesabı silip onun yerine dijital hediye kartı kullandım
    • PayPal'ın tekel benzeri bir konumu var ve gerçek alternatif neredeyse yok
  • Bir dönem internette PayPal en güvenilir ödeme yöntemi sayılıyordu
    Ama artık Stripe, Plaid, Google Pay, Apple Pay gibi seçeneklerle yer değiştirilebilir ve PayPal hem yavaş hem de desteği berbat
    Tüketici açısından bakınca kullanmak için artık bir sebep yok
    • Yine de G&S (ürün ve hizmet ödemesi) özelliği sayesinde dolandırıldığımda para iadesi alabildim
      F&F (arkadaş-aile transferi), Venmo veya Zelle'de böyle bir koruma yok, o yüzden riskli
    • PayPal'ın mikro ödeme ücret yapısı hâlâ avantajlı
      Örneğin ardour.org'da ayda binlerce 1 dolarlık ödeme oluyor ve PayPal sayesinde işlem başına 23 sent tasarruf ediliyor
    • Stripe veya Plaid'in desteklediği ülkeler sınırlı
      PayPal'ın küresel bilinirliği hâlâ yüksek
    • Kredi kartımla Best Buy'dan ödeme yapınca işlem hep iptal ediliyor ama PayPal ile sorunsuz geçiyor
      Muhtemelen dolandırıcılık tespit algoritması yüzünden
    • Eskiden uluslararası ödemeleri kolaylaştıran tek yöntem PayPal'dı
      Stripe bir dönem yalnızca ABD'ye özeldi
  • Habere göre PayPal, “kod değişikliğinden kaynaklanan hatayı geri aldık ve bildirimin gecikmesi kolluk kuvvetlerinin soruşturmasından kaynaklanmadı” dedi
    Ama 2 aylık gecikmenin nedeni hâlâ belirsiz
    En azından veri sızıntısı yaşandığını önce açıklayabilirlerdi gibi görünüyor
    • “Kolluk kuvvetlerinin soruşturmasından kaynaklanmadı” demek, şüphe uyandıracak kadar spesifik bir inkâr
      Yalnızca “soruşturma yüzünden değildi” demiş oluyorlar; gecikmenin başka bir nedeni olması pekâlâ mümkün — mesela “utançtan”
    • Noel'den hemen önce olsaydı? O tarihte açıklamış olacaklarını sanmıyorum
  • “Sistemlerimiz ihlal edilmedi” ifadesi gerçekten çok kurnazca bir çerçeveleme
    Kod hatası yüzünden SSN 6 ay boyunca görünür kaldı ama dışarıdan bir saldırı olmadığı için buna “ihlal değil” deniyor
    Firebase, Supabase, kredi uygulamaları gibi yerlerde de benzer bir kalıp tekrar tekrar görülüyor
    İster hack olsun ister kapı açık kalmış olsun, mağdur açısından sonuç aynı
  • Yakın zamanda PayPal'a kaydolmayı denedim ama berbat doğrulama süreci yüzünden başaramadım
    Bu düzeyde bir müşteri kazanma becerileri varsa güvenlik olayları da şaşırtıcı değil
    • Bugünlerde yeni kayıt olmak ya da uzun süredir kullanılmayan bir hesaba geri dönmek giderek zorlaşıyor
      Sorun aşırı otomasyon ve mahremiyeti ihlal eden doğrulama süreçleri
      Çocuğum için Microsoft hesabıyla Minecraft ödemesi yapmaya çalıştım ama girişten ödemeye kadar her aşamada türlü doğrulama ve hatalarla karşılaştım
      Sonuçta güvenlik kullanıcı deneyimine hükmediyor
  • Mağdurlara 2 yıl boyunca Equifax kredi izleme hizmeti verileceği yazıyordu. Ne kadar “şık” bir önlem
    • 2017 Equifax veri ihlali olayı düşünülünce ironik
    • Çoğu şirket, “güvenlik olayı yaşansa da kredi izleme verirsek iş biter” diye düşünüyor
      Mağdurların anlamlı bir dava açması zor, sonunda toplu dava açılıyor ve esas kazanan avukatlar oluyor
  • Avrupa'da WERO'nun PayPal'ın yerini almasını isterim. Adı biraz komik olsa da
    • Wero, mevcut SEPA havalesinden pek farklı değil
      PayPal'ın ise en azından alıcı koruma sistemi var
    • Sık kullandığım mağazalardan henüz Wero destekleyen tek bir tane bile yok
  • “Bu olay yüzünden PayPal'da kim hapse giriyor?” diye sorulmuş
    • Ben de bir zamanlar böyle düşünüyordum ama artık şirketlerin hukukun üstünde olduğunu anladım
      Ceza ödemek, yasalara uymaktan daha ucuza geliyor ve siyaset dünyası da teknolojiyi yakalayamıyor
      Sonuçta tüketici koruması geri planda kalıyor
    • Yine de olay sadece bir bug yüzündense hapis fazla olur diye düşünüyorum
      Herkes hata yapabilir; mesele kötü niyet değil de hataysa, cezadan çok iyileştirme gerekir
  • Az önce giriş yapmayı denedim, karşıma “şifre sıfırlama” isteği çıktı ve captcha'dan sonra sayfa dondu
    Sonunda tamamen kilitlenmiş bir hesap hâline geldi. Aferin sana, PayPal
  • Biri benim e-posta adresimle yetişkin içerik ödemeleri için bir PayPal hesabı açmıştı, bu yüzden yetişkin olduktan sonra bile o e-postayla kaydolamıyorum
    PayPal, e-posta doğrulaması olmadan ödeme yapılmasına izin vermiş
    Müşteri hizmetleriyle görüştüm ama sadece “yapacak bir şey yok” dediler
    Bu yüzden yalnızca Stripe, Link ya da doğrudan kredi kartı ödemesi kullanıyorum
    Kanada'da 2003'ten beri e-Transfer ile ücretsiz para gönderilebildiği için PayPal'a hiç ihtiyaç yok