Lintas3.com – Perusahaan pembayaran digital PayPal mengonfirmasi adanya insiden keamanan yang menyebabkan kebocoran data pribadi sejumlah pengguna.
Sekitar 100 pelanggan dilaporkan terdampak, dan beberapa di antaranya mengalami transaksi tidak sah hingga dana di dalam akun mereka terkuras.
Dalam surat pemberitahuan yang dikirimkan kepada pelanggan, PayPal menyebutkan bahwa akses tidak sah ke sistem terjadi pada 1 Juli 2025.
Akses tersebut baru terdeteksi dan dihentikan pada 12 Desember 2025 setelah perusahaan menemukan aktivitas mencurigakan.
Berdasarkan pemberitahuan resmi tertanggal 10 Februari, insiden ini berkaitan dengan kesalahan pada aplikasi pinjaman PayPal Working Capital (PPWC).
Namun, perusahaan belum menjelaskan secara rinci bagaimana peretas bisa menembus sistem, selain menyebut adanya “perubahan kode” yang menjadi pemicu celah keamanan tersebut.
Juru Bicara PayPal, seperti dikutip dari Forbes, menyatakan bahwa sistem inti perusahaan tidak diretas.
Meski demikian, perusahaan tetap menghubungi sekitar 100 pelanggan yang berpotensi terdampak sebagai bentuk transparansi dan kepatuhan terhadap kewajiban pemberitahuan insiden.
Pernyataan tersebut sedikit berbeda dengan isi surat kepada pelanggan yang menyebut perusahaan telah “menghentikan akses tidak sah ke sistem PayPal” dan segera melakukan investigasi internal begitu aktivitas mencurigakan terdeteksi.
Data yang diduga diakses peretas meliputi nama lengkap, alamat email, nomor telepon, alamat bisnis, nomor jaminan sosial, serta tanggal lahir.
PayPal juga mengakui bahwa beberapa pelanggan mengalami transaksi tanpa izin di akun mereka.
Perusahaan memastikan telah mengembalikan dana yang terdampak dan mengambil langkah pengamanan tambahan, termasuk menghentikan akses pelaku, mereset kata sandi pengguna yang terdampak, serta meningkatkan pengawasan sistem.
Sebagai bentuk perlindungan lanjutan, PayPal menawarkan layanan pemantauan kredit dan pemulihan identitas gratis selama dua tahun melalui Equifax bagi pelanggan yang terdampak.
PayPal juga mengimbau pengguna untuk meningkatkan keamanan akun dengan menggunakan kata sandi unik di setiap layanan, mengganti kata sandi jika mendeteksi aktivitas mencurigakan, serta tidak sembarangan mengklik tautan dalam email yang tidak terverifikasi.
Perusahaan menegaskan bahwa mereka tidak pernah meminta informasi sensitif seperti kata sandi atau kode autentikasi satu kali melalui telepon, pesan teks, maupun email.
Insiden ini kembali menjadi pengingat pentingnya kewaspadaan pengguna dalam menjaga keamanan data pribadi di tengah meningkatnya ancaman siber terhadap layanan keuangan digital.
