PayPal ने 6 महीनों तक यूज़र जानकारी उजागर रहने वाले डेटा लीक का खुलासा किया

 (bleepingcomputer.com)
2 पॉइंट द्वारा GN⁺ 2026-02-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • लोन आवेदन सिस्टम की गड़बड़ी के कारण ग्राहकों की संवेदनशील व्यक्तिगत जानकारी लगभग 6 महीनों तक बाहर से एक्सपोज़ रही
  • उजागर जानकारी में नाम, ईमेल, फोन नंबर, व्यवसाय का पता, Social Security Number, जन्मतिथि शामिल थे
  • PayPal ने समस्या का पता चलने के अगले दिन code change rollback करके access block किया, और कुछ खातों में हुई अनधिकृत transactions पर refund की प्रक्रिया शुरू की
  • प्रभावित ग्राहकों को Equifax के माध्यम से 2 साल की credit monitoring और identity restoration service मुफ्त में दी जाएगी
  • कंपनी ने कहा कि सिस्टम में कोई घुसपैठ नहीं हुई थी, और करीब 100 ग्राहकों का डेटा ही उजागर हुआ

डेटा लीक का सारांश

  • PayPal Working Capital (लोन application) के software error के कारण ग्राहक जानकारी बाहर से एक्सपोज़ हो गई
    • एक्सपोज़र की अवधि 1 जुलाई 2025 से 13 दिसंबर 2025 तक के रूप में बताई गई
    • उजागर जानकारी में नाम, ईमेल, फोन नंबर, व्यवसाय का पता, Social Security Number, जन्मतिथि शामिल थे
  • PayPal ने 12 दिसंबर 2025 को समस्या पकड़ी और अगले दिन code change rollback करके access block कर दिया
  • कंपनी ने स्पष्ट किया कि इस error के कारण कुछ ग्राहकों की व्यक्तिगत पहचान योग्य जानकारी (PII) अनधिकृत लोगों को दिखाई दी

प्रतिक्रिया और ग्राहक सुरक्षा

  • PayPal ने अनधिकृत transactions का सामना करने वाले कुछ ग्राहकों को refund दिया
  • प्रभावित ग्राहकों को Equifax की 3-ब्यूरो credit monitoring और identity restoration service 2 साल के लिए मुफ्त दी जाएगी
    • सेवा में नामांकन की अंतिम तारीख 30 जून 2026 है
  • सभी प्रभावित खातों के password reset किए गए, और अगली login पर नए credentials बनाने की मांग की गई
  • ग्राहकों को credit report और account activity monitor करने की सलाह दी गई
  • PayPal ने फिर जोर देकर कहा कि वह फोन, SMS या ईमेल के जरिए password या authentication code नहीं मांगता

कंपनी का पक्ष और अतिरिक्त जानकारी

  • लेख अपडेट होने के बाद PayPal के प्रवक्ता ने कहा कि सिस्टम स्वयं breach नहीं हुआ था
    • प्रभावित ग्राहक करीब 100 थे, और यह सिस्टम intrusion नहीं बल्कि code error से हुआ exposure था
    • उन्होंने कहा, “अगर ग्राहक जानकारी के एक्सपोज़ होने की संभावना हो, तो कानूनी रूप से सूचना देना अनिवार्य है।”
  • यानी, security system सुरक्षित था, लेकिन code defect के कारण डेटा बाहर से देखा जा सकता था

पिछले समान मामले

  • दिसंबर 2022, बड़े पैमाने पर हुई credential stuffing attack में 35,000 खाते compromise हुए थे
  • जनवरी 2025, न्यूयॉर्क राज्य सरकार ने इस मामले से जुड़कर PayPal पर 20 लाख डॉलर का settlement लगाया
    • उस समय PayPal पर राज्य cyber security नियमों का पालन न करने के कारण कार्रवाई हुई थी

कम्युनिटी प्रतिक्रिया का सारांश

  • कुछ यूज़र्स ने पूछा, “अगर सिस्टम breach नहीं हुआ था, तो डेटा लीक कैसे हुआ?”
  • इसके जवाब में यह उदाहरण दिया गया: “security system तिजोरी की तरह सुरक्षित था, लेकिन code error के कारण दरवाज़ा खुला रह गया था
    • यानी, यह hacking नहीं बल्कि development code की गलती से जानकारी बाहर एक्सपोज़ होने का मामला था

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-22
Hacker News की राय
  • लगभग 20 साल पहले PayPal ने बिना किसी वजह मेरे 15 डॉलर ले लिए थे
    मैंने एक गेम खरीदा था और बचे हुए पैसे 6 महीने तक पड़े रहने दिए, फिर जब eBay पर उन्हें इस्तेमाल करना चाहा तो अकाउंट तुरंत लॉक हो गया
    उन्होंने notarized ID तक माँगी, तो मैंने बस छोड़ दिया। उसके बाद मैंने कसम खाई कि “अब कभी इस्तेमाल नहीं करूँगा”, और आज तक एक बार भी पछतावा नहीं हुआ
    हर साल नए-नए मामले सामने आते देखते हुए लगता है कि तब लिया गया फैसला सही था
    उम्मीद है किसी दिन कोई इस कंपनी पर बहुत बड़ा मुकदमा करे और इसे बंद करवा दे
    • मैंने पहले Reddit पर एक पोस्ट देखी थी, “PayPal ने मेरे 6 लाख डॉलर रोक लिए”
      बाद में पता चला कि वह वही दौर था जब Notch अपनी निजी वेबसाइट पर Minecraft alpha बेच रहा था। उस समय वह सचमुच ठगी जैसा लगता था
    • मुझे लगता था कि कंपनियाँ छोड़े गए पैसों से मुनाफा नहीं कमा सकतीं
      आम तौर पर ऐसे पैसे राज्य सरकार की unclaimed assets agency को ट्रांसफर कर दिए जाते हैं
      तो शायद यह लालच से ज़्यादा सीधी अयोग्यता का मामला भी हो सकता है
    • मैंने भी सहकर्मियों के लिए गिफ्ट फंड इकट्ठा करने के लिए PayPal जॉइन करने की कोशिश की थी, लेकिन बैंक verification पूरा करते ही अकाउंट लॉक हो गया
      कस्टमर सपोर्ट को कॉल करने और ID scan देने की माँग हुई, तो मैंने अकाउंट डिलीट कर दिया और उसकी जगह digital gift card ले लिया
    • PayPal के पास एकाधिकार जैसी स्थिति है, और उसके वास्तविक विकल्प लगभग नहीं हैं
  • एक समय इंटरनेट पर PayPal सबसे विश्वसनीय payment method था
    लेकिन अब इसे Stripe, Plaid, Google Pay, Apple Pay वगैरह से बदला जा सकता है, और PayPal धीमा है तथा इसका support भी बहुत खराब है
    उपभोक्ता के नज़रिए से अब इसे इस्तेमाल करने की कोई खास वजह नहीं बचती
    • फिर भी G&S (goods and services payment) की वजह से मुझे ठगे जाने पर refund मिल चुका है
      F&F (friends and family transfer), Venmo या Zelle में ऐसी सुरक्षा नहीं होती, इसलिए वे ज़्यादा जोखिम भरे हैं
    • PayPal का microtransaction fee structure अब भी फ़ायदेमंद है
      उदाहरण के लिए ardour.org पर हर महीने 1 डॉलर के हज़ारों payment होते हैं, और PayPal की वजह से प्रति transaction 23 सेंट बचते हैं
    • Stripe या Plaid का country support सीमित है
      PayPal की अब भी दुनिया भर में पहचान बहुत मज़बूत है
    • मैं अपने credit card से Best Buy पर भुगतान करता हूँ तो वह हमेशा cancel हो जाता है, लेकिन PayPal से करूँ तो बिना समस्या पास हो जाता है
      शायद इसकी वजह fraud detection algorithm है
    • पहले अंतरराष्ट्रीय भुगतान आसान बनाने का लगभग एकमात्र तरीका PayPal ही था
      Stripe एक समय सिर्फ अमेरिका तक सीमित था
  • लेख के अनुसार PayPal ने कहा कि उसने “code change से हुई गलती को revert कर दिया है, और notification में देरी law enforcement investigation की वजह से नहीं हुई”
    लेकिन 2 महीने की देरी की वजह अब भी साफ नहीं है
    कम से कम data breach की जानकारी तो पहले दे ही सकते थे
    • “यह law enforcement investigation की वजह से नहीं था” एक हद से ज़्यादा specific denial लगता है
      यह सिर्फ इतना कहता है कि “जांच की वजह से नहीं”, लेकिन देरी के और भी कई कारण हो सकते थे — जैसे “शर्मिंदगी”
    • अगर यह क्रिसमस से ठीक पहले हुआ हो? मुझे नहीं लगता कि वे उस समय इसे सार्वजनिक करते
  • “हमारे सिस्टम से समझौता नहीं हुआ” जैसी भाषा बहुत चालाक framing है
    code error की वजह से 6 महीने तक SSN exposed रहा, लेकिन क्योंकि कोई बाहरी intrusion नहीं हुआ, इसलिए इसे “breach नहीं” कहा जा रहा है
    Firebase, Supabase, loan app आदि में भी यही पैटर्न बार-बार दिखता है
    चाहे hack हुआ हो या दरवाज़ा खुला छोड़ दिया गया हो, पीड़ित के लिए समस्या एक जैसी ही है
  • मैंने हाल में PayPal में साइन अप करने की कोशिश की, लेकिन इसकी बेतरतीब verification process की वजह से असफल रहा
    ग्राहक हासिल करने की इसकी हालत देखकर security incident भी चौंकाने वाला नहीं लगता
    • आजकल नया sign-up करना या लंबे समय से निष्क्रिय अकाउंट में वापस जाना लगातार मुश्किल होता जा रहा है
      इसकी वजह ज़रूरत से ज़्यादा automation और दखल देने वाली verification process है
      मैंने Microsoft अकाउंट से अपने बच्चे के लिए Minecraft का payment करने की कोशिश की, लेकिन login से लेकर payment तक हर जगह verification और errors ने रोक दिया
      आखिरकार security user experience पर हावी हो जाती है
  • पीड़ितों को 2 साल की Equifax credit monitoring service देने की बात लिखी थी। क्या ही “परिष्कृत” कदम है
    • 2017 Equifax data breach incident याद करें तो यह विडंबनापूर्ण लगता है
    • ज़्यादातर कंपनियाँ सोचती हैं कि “security incident हो जाए तो credit monitoring दे दो, काम खत्म”
      पीड़ितों के लिए वास्तविक मुकदमा करना मुश्किल होता है, और अंत में class action lawsuit में सिर्फ वकीलों का फायदा होता है
  • यूरोप में उम्मीद है कि WERO PayPal की जगह ले
    नाम थोड़ा मज़ेदार ज़रूर है
    • Wero मौजूदा SEPA transfer से बहुत अलग नहीं है
      PayPal में कम से कम buyer protection system तो है
    • जिन दुकानों का मैं अक्सर इस्तेमाल करता हूँ, उनमें अभी तक एक भी Wero support नहीं करती
  • किसी ने पूछा, “इस घटना के बाद PayPal के किस अधिकारी को जेल होगी?”
    • मैं भी कभी ऐसा ही सोचता था, लेकिन अब समझ आ गया है कि कंपनियाँ कानून से ऊपर की चीज़ बन चुकी हैं
      जुर्माना भरना कानून मानने से सस्ता पड़ता है, और राजनीति तकनीक की रफ़्तार के साथ चल नहीं पाती
      आखिरकार consumer protection सबसे पीछे छूट जाता है
    • फिर भी अगर यह सिर्फ एक साधारण bug से हुई घटना है, तो जेल तक की बात ज़्यादा लगती है
      गलती किसी से भी हो सकती है, और अगर यह दुर्भावना नहीं बल्कि त्रुटि थी, तो सज़ा से ज़्यादा सुधार की ज़रूरत है
  • अभी लॉग इन करके देखा तो “password reset” का अनुरोध आया, और captcha के बाद पेज वहीं अटक गया
    नतीजा यह कि अकाउंट पूरी तरह लॉक हो गया। कमाल है, PayPal
  • किसी ने मेरे email से adult-content payment के लिए PayPal अकाउंट बना दिया था, इसलिए आज बालिग हो जाने के बाद भी मैं उस email से साइन अप नहीं कर सकता
    PayPal email verification के बिना ही payment की अनुमति देता था
    मैंने कस्टमर सपोर्ट से संपर्क किया, लेकिन जवाब मिला कि “कुछ नहीं किया जा सकता”
    इसलिए मैं सिर्फ Stripe या Link, या फिर सीधा credit card payment ही इस्तेमाल करता हूँ
    कनाडा में 2003 से e-Transfer के जरिए बिना शुल्क पैसे भेजे जा सकते हैं, इसलिए PayPal की बिल्कुल ज़रूरत नहीं पड़ती