Werbung
Der Zahlungsdienstleister PayPal hat einen Datenschutzvorfall eingeräumt, bei dem personenbezogene Daten von Business-Kunden über mehrere Monate hinweg unbefugt zugänglich waren. Betroffen waren Nutzer der Kreditlösung PayPal Working Capital, die in Deutschland als PayPal Businesskredit angeboten wird. Nach Unternehmensangaben war eine fehlerhafte Codeänderung Auslöser des Problems.
PayPal Working Capital ist als integriertes Finanzierungsprodukt konzipiert, das Geschäftskunden kurzfristige Darlehen bereitstellt. Die Rückzahlung erfolgt automatisiert über einen prozentualen Anteil zukünftiger Umsätze, die über die PayPal-Plattform abgewickelt werden. Technisch ist das Produkt eng an die bestehende Zahlungsinfrastruktur angebunden, einschließlich Transaktionsverarbeitung, Risikobewertung und Nutzerkontoverwaltung. Änderungen im Anwendungscode können sich daher unmittelbar auf Datenflüsse und Zugriffsrechte innerhalb des Systems auswirken.
Im konkreten Fall führte eine Modifikation am Code dazu, dass zwischen dem 1. Juli und dem 13. Dezember 2025 Daten von rund 100 Geschäftskunden offengelegt wurden. Zu den betroffenen Informationen zählen Namen, E-Mail-Adressen, Telefonnummern, Geschäftsanschriften, Geburtsdaten sowie in den USA auch Sozialversicherungsnummern. Nach Entdeckung des Vorfalls wurde die betreffende Codeänderung zurückgenommen, wodurch der unbefugte Zugriff unterbunden wurde.
Zusätzlich wurden bei einer kleinen Zahl von Kunden nicht autorisierte Transaktionen festgestellt. Laut PayPal sind diese Vorgänge vollständig erstattet worden. Als weitere Sicherheitsmaßnahme setzte das Unternehmen die Passwörter der betroffenen Konten zurück. Nutzer müssen seitdem bei der nächsten Anmeldung ein neues Passwort vergeben. Damit greift PayPal auf seine bestehende Authentifizierungsinfrastruktur zurück, die unter anderem Passwortverwaltung, Sitzungssteuerung und Überwachung verdächtiger Aktivitäten umfasst.
