PayPal công bố vụ rò rỉ dữ liệu làm lộ thông tin người dùng trong 6 tháng

 (bleepingcomputer.com)
2 điểm bởi GN⁺ 2026-02-22 | 1 bình luận | Chia sẻ qua WhatsApp
  • Do lỗi hệ thống đăng ký khoản vay, thông tin cá nhân nhạy cảm của khách hàng đã bị lộ ra bên ngoài trong khoảng 6 tháng
  • Thông tin bị lộ bao gồm tên, email, số điện thoại, địa chỉ cơ sở kinh doanh, số an sinh xã hội, ngày sinh
  • PayPal đã hoàn tác thay đổi mã để chặn truy cập vào ngày sau khi phát hiện vấn đề, đồng thời hoàn tiền cho các giao dịch trái phép trên một số tài khoản
  • Cung cấp miễn phí cho khách hàng bị ảnh hưởng 2 năm dịch vụ giám sát tín dụng và khôi phục danh tính thông qua Equifax
  • Công ty cho biết không có xâm nhập hệ thống, và chỉ dữ liệu của khoảng 100 khách hàng bị lộ

Tổng quan vụ rò rỉ dữ liệu

  • Lỗi phần mềm trong PayPal Working Capital (ứng dụng khoản vay) đã khiến thông tin khách hàng bị lộ ra bên ngoài
    • Thời gian bị lộ được xác định là từ ngày 1 tháng 7 đến ngày 13 tháng 12 năm 2025
    • Thông tin bị lộ bao gồm tên, email, số điện thoại, địa chỉ cơ sở kinh doanh, số an sinh xã hội và ngày sinh
  • PayPal phát hiện vấn đề vào ngày 12 tháng 12 năm 2025, và sang ngày hôm sau đã hoàn tác thay đổi mã để chặn truy cập
  • Công ty nêu rõ rằng do lỗi này, thông tin nhận dạng cá nhân (PII) của một số ít khách hàng đã bị những người truy cập trái phép xem được

Biện pháp ứng phó và bảo vệ khách hàng

  • PayPal đã hoàn tiền cho một số khách hàng phát sinh giao dịch trái phép
  • Cung cấp miễn phí cho khách hàng bị ảnh hưởng dịch vụ giám sát tại 3 cơ quan tín dụng và khôi phục danh tính của Equifax trong 2 năm
    • Hạn chót đăng ký dịch vụ là ngày 30 tháng 6 năm 2026
  • Đặt lại mật khẩu của tất cả các tài khoản bị ảnh hưởng và yêu cầu tạo thông tin đăng nhập mới ở lần đăng nhập tiếp theo
  • Khuyến nghị khách hàng theo dõi báo cáo tín dụng và hoạt động tài khoản
  • PayPal nhấn mạnh lại rằng họ không yêu cầu mật khẩu hoặc mã xác thực qua điện thoại, tin nhắn hay email

Lập trường của công ty và giải thích bổ sung

  • Sau khi bài báo được cập nhật, người phát ngôn của PayPal cho biết bản thân hệ thống không bị xâm nhập
    • Số khách hàng bị lộ là khoảng 100 người, và nhấn mạnh đây là vụ lộ lọt do lỗi mã chứ không phải do xâm nhập hệ thống
    • Công ty giải thích: “Nếu có khả năng thông tin khách hàng bị lộ, chúng tôi có nghĩa vụ pháp lý phải thông báo”
  • Nói cách khác, hệ thống bảo mật vẫn được duy trì, nhưng do lỗi mã nên dữ liệu có thể bị xem từ bên ngoài

Các sự cố tương tự trước đây

  • Vào tháng 12 năm 2022, từng có vụ credential stuffing quy mô lớn làm 35.000 tài khoản bị xâm phạm
  • Vào tháng 1 năm 2025, chính quyền bang New York đã áp khoản dàn xếp 2 triệu USD với PayPal liên quan đến vụ việc đó
    • Khi đó, PayPal bị xử phạt vì không tuân thủ quy định an ninh mạng của bang

Tóm tắt phản ứng cộng đồng

  • Một số người dùng đặt câu hỏi: “Nếu hệ thống không bị xâm nhập thì vì sao dữ liệu vẫn bị rò rỉ?”
  • Để giải thích, có ví von rằng “hệ thống bảo mật an toàn như két sắt, nhưng cánh cửa lại bị mở do lỗi mã
    • Tức đây được hiểu là trường hợp thông tin bị lộ ra bên ngoài do sai sót trong mã phát triển, chứ không phải bị hack

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-22
Ý kiến trên Hacker News
  • Gần 20 năm trước, PayPal từng lấy của tôi 15 USD mà không có lý do
    Tôi mua một trò chơi, để số tiền còn lại trong 6 tháng rồi định dùng trên eBay thì tài khoản lập tức bị khóa
    Họ còn yêu cầu cả giấy tờ tùy thân có công chứng nên tôi bỏ luôn. Từ đó tôi tự nhủ “không bao giờ dùng nữa”, và đến giờ chưa từng hối hận
    Mỗi năm lại có sự cố mới nổ ra, càng khiến tôi thấy quyết định khi đó là đúng
    Tôi chỉ mong một ngày nào đó có ai đó kiện công ty này với số tiền thật lớn để nó bị đóng cửa
    • Tôi từng thấy một bài trên Reddit kể rằng “PayPal đã khóa 600.000 USD của tôi”
      Hóa ra đó chính là câu chuyện thời Notch bán bản alpha của Minecraft trên trang web cá nhân. Lúc đó trông thực sự chẳng khác gì lừa đảo
    • Tôi biết là doanh nghiệp không được phép trục lợi từ số tiền bị bỏ quên như vậy
      Bình thường khoản tiền kiểu này sẽ được chuyển cho cơ quan quản lý tài sản vô thừa nhận của bang
      Nếu vậy thì có khi đây không phải do lòng tham mà chỉ là sự bất tài
    • Tôi cũng từng thử đăng ký PayPal để gom tiền mua quà cho đồng nghiệp, nhưng vừa xác thực ngân hàng xong là tài khoản bị khóa ngay
      Họ bắt tôi gọi lên tổng đài và gửi cả bản scan giấy tờ tùy thân, nên tôi xóa tài khoản luôn và chuyển sang dùng thẻ quà tặng điện tử
    • PayPal có vị thế độc quyền, và gần như không có lựa chọn thay thế thực sự
  • Đã có lúc PayPal là phương thức thanh toán được tin cậy nhất trên Internet
    Nhưng giờ có thể thay bằng Stripe, Plaid, Google Pay, Apple Pay..., còn PayPal thì chậm và hỗ trợ rất tệ
    Từ góc nhìn người tiêu dùng, không còn lý do gì để dùng nữa
    • Dù vậy, nhờ tính năng G&S (thanh toán hàng hóa và dịch vụ) mà tôi từng được hoàn tiền khi bị lừa
      F&F (chuyển tiền cho bạn bè và gia đình), Venmo hay Zelle không có kiểu bảo vệ đó nên khá rủi ro
    • PayPal vẫn có cơ cấu phí giao dịch nhỏ lẻ thuận lợi hơn
      Ví dụ trên ardour.org có hàng nghìn giao dịch 1 USD mỗi tháng, và PayPal giúp tiết kiệm 23 cent cho mỗi giao dịch
    • Stripe hay Plaid bị giới hạn ở số quốc gia được hỗ trợ
      PayPal vẫn có mức độ nhận diện toàn cầu rất cao
    • Khi tôi thanh toán ở Best Buy bằng thẻ tín dụng thì lúc nào cũng bị hủy, nhưng dùng PayPal thì qua bình thường
      Có lẽ là do thuật toán phát hiện gian lận
    • Trước đây PayPal gần như là cách duy nhất để thanh toán quốc tế một cách dễ dàng
      Stripe từng có thời gian chỉ hỗ trợ tại Mỹ
  • Theo bài báo, PayPal nói rằng họ “đã khôi phục lỗi do thay đổi mã gây ra, và việc thông báo chậm trễ không phải do điều tra của cơ quan thực thi pháp luật”
    Nhưng lý do của sự chậm trễ 2 tháng vẫn chưa rõ ràng
    Ít nhất thì có lẽ họ cũng nên công bố trước việc đã xảy ra rò rỉ dữ liệu
    • Câu “không phải do điều tra của cơ quan thực thi pháp luật” là một kiểu phủ nhận cụ thể đến đáng ngờ
      Chỉ có nghĩa là “không phải vì cuộc điều tra”, chứ vẫn còn rất nhiều khả năng khác khiến họ trì hoãn — ví dụ như “vì xấu hổ”
    • Nếu là ngay trước Giáng Sinh thì sao? Tôi không nghĩ họ sẽ công bố vào thời điểm đó đâu
  • Cách nói “hệ thống của chúng tôi không bị xâm nhập” đúng là một kiểu định khung rất khéo
    Mã lỗi khiến SSN bị lộ trong suốt 6 tháng, nhưng vì không có kẻ ngoài xâm nhập nên họ gọi đó là “không bị xâm nhập”
    Firebase, Supabase, các app cho vay... cũng lặp đi lặp lại kiểu này
    Dù là bị hack hay chỉ đơn giản là cửa bị mở toang, thì với nạn nhân cũng vẫn là cùng một vấn đề
  • Gần đây tôi đã thử đăng ký PayPal nhưng thất bại vì quy trình xác minh quá tệ
    Với năng lực thu hút khách hàng mới ở mức này thì sự cố bảo mật cũng chẳng có gì đáng ngạc nhiên
    • Dạo này việc đăng ký mới hoặc quay lại với tài khoản lâu không dùng ngày càng khó hơn
      Tự động hóa quá mức và quy trình xác minh mang tính xâm phạm là vấn đề chính
      Tôi từng muốn dùng tài khoản Microsoft để trả tiền Minecraft cho con, nhưng từ đăng nhập tới thanh toán đều bị chặn bởi đủ thứ xác thực và lỗi
      Cuối cùng thành ra bảo mật thống trị toàn bộ trải nghiệm người dùng
  • Có đoạn nói rằng nạn nhân sẽ được cung cấp dịch vụ theo dõi tín dụng Equifax trong 2 năm. Quả là một biện pháp “tinh tế”
    • Nghĩ đến vụ rò rỉ dữ liệu Equifax năm 2017 thì thật mỉa mai
    • Phần lớn doanh nghiệp dường như nghĩ rằng “cứ xảy ra sự cố bảo mật rồi cấp dịch vụ theo dõi tín dụng là xong”
      Nạn nhân rất khó khởi kiện thực chất, và cuối cùng kiện tập thể chỉ làm luật sư có lợi
  • Ở châu Âu, tôi hy vọng WERO sẽ thay thế PayPal. Dù cái tên nghe hơi buồn cười
    • Wero thực ra cũng chẳng khác gì chuyển khoản SEPA hiện có
      PayPal dù sao vẫn có cơ chế bảo vệ người mua
    • Trong số các cửa hàng tôi hay dùng, hiện vẫn chưa có nơi nào hỗ trợ Wero
  • Có người đặt câu hỏi: “Sau vụ này thì ai ở PayPal sẽ vào tù?”
    • Tôi cũng từng nghĩ như vậy, nhưng giờ tôi nhận ra rằng doanh nghiệp là thực thể đứng trên pháp luật
      Nộp phạt còn rẻ hơn tuân thủ luật, còn giới chính trị thì không theo kịp công nghệ
      Cuối cùng bảo vệ người tiêu dùng bị đẩy xuống hàng sau
    • Nhưng nếu đây chỉ là sự cố do bug đơn thuần thì tôi nghĩ đi tù là quá đáng
      Ai cũng có thể mắc sai lầm, và nếu đó là lỗi chứ không phải ác ý thì điều cần là cải thiện chứ không phải trừng phạt
  • Tôi vừa đăng nhập thử thì thấy yêu cầu “đặt lại mật khẩu”, rồi sau captcha trang bị treo luôn
    Kết quả là tài khoản bị khóa hoàn toàn. Làm tốt lắm, PayPal
  • Có người đã tạo một tài khoản PayPal dùng để thanh toán nội dung người lớn bằng email của tôi, nên đến giờ khi đã trưởng thành tôi vẫn không thể đăng ký bằng email đó
    PayPal cho phép thanh toán mà không cần xác thực email
    Tôi đã liên hệ bộ phận hỗ trợ khách hàng nhưng chỉ nhận được câu trả lời là “không có cách nào”
    Vì thế tôi chỉ dùng Stripe, Link hoặc thanh toán trực tiếp bằng thẻ tín dụng
    Ở Canada, từ năm 2003 đã có thể chuyển tiền miễn phí bằng e-Transfer, nên hoàn toàn không cần PayPal