事件概述 - 公司通知约100名PayPal Working Capital客户 其个人身份信息因贷款申请流程中的错误而被暴露给未经授权的个人 暴露时间为2024年7月1日至12月13日 为期约五个半月 [1][2][3] 事件详情与处理 - 公司于2024年12月12日发现该错误 并于2025年2月10日向马萨诸塞州客户发送数据泄露通知 [2] - 暴露的个人身份信息可能包括商业联系信息 如姓名、电子邮件地址、电话号码和商业地址 以及客户的社会安全号码和出生日期 [7] - 公司强调其系统未被入侵 此次事件由代码变更错误导致 [3] - 发现事件后 公司回滚了导致错误的代码变更 终止了对系统的未授权访问 重置了受影响账户的密码 并实施了增强的安全控制措施 [7] - 少数客户账户发生了未经授权的交易 公司已向这些客户发放退款 [8] 历史监管处罚 - 在2025年1月 公司同意支付200万美元罚款 以了结纽约州对其网络安全缺陷导致数据泄露的指控 该指控源于2022年12月发生的一起独立事件 [8] - 纽约州指控公司违反了该州的网络安全法规 未能使用合格人员管理网络安全 也未能就网络安全风险提供充分培训 [9] - 公司表示在自我报告和披露该问题后 与纽约州金融服务部密切合作以解决此事 [10]