Współczesny sektor finansowy rzadziej pada ofiarą spektakularnych, głośnych ataków hakerskich polegających na siłowym przełamywaniu zabezpieczeń. Zamiast tego, cyberprzestępcy coraz częściej wybierają strategię cichej infiltracji, wykorzystując luki w logice biznesowej aplikacji. Najnowszy incydent w strukturach PayPal, o którym firma poinformowała 10 lutego 2026 roku, stanowi podręcznikowy przykład tego zjawiska. Przestępcy przez blisko sześć miesięcy niezauważenie operowali w środowisku usługi PayPal Working Capital (PPWC).
Zgodnie z wymogami PayPal wysłał do klientów, których dotyczyło naruszenie, list z powiadomieniem o naruszeniu.
Kiedy aktualizacja kodu otwiera tylną furtkę
Źródłem problemu nie był zaawansowany złośliwy kod z zewnątrz, lecz błąd ludzki wewnątrz organizacji. Jak wynika z analizy technicznej, nieautoryzowany dostęp był możliwy dzięki niefortunnej zmianie w kodzie interfejsu aplikacji PPWC. Narzędzie to jest dedykowane małym i średnim przedsiębiorstwom (głównie w Wielkiej Brytanii, obsługującym roczny obrót powyżej 9 tysięcy funtów), oferując im szybkie opcje finansowania i pożyczki.
W realiach nowoczesnego wytwarzania oprogramowania (częste wdrożenia w modelach CI/CD), modyfikacje interfejsów i API niosą ze sobą ryzyko nieumyślnego odsłonięcia wrażliwych ścieżek dostępu. W tym przypadku błąd pozwolił intruzom na swobodne poruszanie się po procesach biznesowych, co z punktu widzenia systemów monitorujących mogło wyglądać jak standardowa aktywność uprawnionych użytkowników.
Anatomia „Dwell Time”: Pół roku w cieniu
W branży cyberbezpieczeństwa czas, jaki atakujący spędza w systemie ofiary przed wykryciem, określa się mianem dwell time. W przypadku PayPal wynosił on niemal pół roku – od 1 lipca do 12 grudnia 2025 roku.
Z perspektywy skali operacji giganta, incydent miał charakter wręcz mikroskopijny. Rzecznik firmy podkreślił, że główne systemy korporacyjne pozostały nienaruszone, a problem dotknął zaledwie około 100 klientów biznesowych. Jednak w tego typu atakach to nie ilość, a jakość wykradzionych informacji odgrywa kluczową rolę.
Łupem napastników padły kompletne profile tożsamościowe:
- Imię i nazwisko oraz daty urodzenia,
- Amerykańskie numery ubezpieczenia społecznego (Social Security Number),
- Adresy firmowe, e-maile i numery telefonów.
Eksperci z branży Threat Intelligence słusznie zauważają, że tak precyzyjny zestaw danych to idealne paliwo do kradzieży tożsamości, tworzenia tzw. tożsamości syntetycznych (synthetic identity fraud) oraz przeprowadzania wysoce ukierunkowanych ataków socjotechnicznych wymierzonych w konkretne biznesy. Co więcej, w wyniku wycieku na niektórych kontach doszło do nieautoryzowanych transakcji finansowych (które PayPal ostatecznie cofnął). To dowodzi, że intruzi nie poprzestali na samej eksfiltracji danych, ale aktywnie testowali możliwości monetyzacji swojego dostępu.
Mitygacja i gaszenie pożaru
Reakcja firmy po odkryciu luki 12 grudnia była natychmiastowa. Już następnego dnia (13 grudnia) wycofano problematyczną aktualizację kodu, odcinając nieautoryzowany dostęp.
Zgodnie ze standardami reagowania na incydenty (Incident Response), PayPal wymusił reset haseł dla poszkodowanych kont i wdrożył dodatkowe kontrole bezpieczeństwa. Poszkodowanym zaoferowano również standardowy w takich przypadkach pakiet ochronny – dwuletni darmowy monitoring kredytowy i usługi przywracania tożsamości za pośrednictwem firmy Equifax.
Warto odnotować, że firma powiadomiła organy ścigania, jednocześnie deklarując, że toczące się śledztwo nie opóźniło procesu rozsyłania powiadomień do klientów.
Dlaczego to ważne?
Ten pozornie niewielki incydent obnaża krytyczną słabość współczesnych ekosystemów FinTech.
Po pierwsze: iluzja skali. Fakt, że ucierpiało "tylko" 100 osób, może usypiać czujność. Jednak sześciomiesięczny dwell time w systemach firmy o takich zasobach jak PayPal to dzwonek alarmowy dla całej branży. Oznacza to, że tradycyjne systemy klasy DLP (Data Loss Prevention) czy SIEM nie potrafiły zidentyfikować anomalii, ponieważ atakujący poruszali się w ramach legalnej, choć zepsutej błędem deweloperskim, logiki aplikacji.
Po drugie: przesunięcie wektora ataków. Cyberprzestępcy wiedzą, że bezpośredni atak na zaszyfrowane bazy danych korporacji jest niezwykle trudny. Zamiast tego uderzają w aplikacje poboczne, interfejsy API i usługi B2B (takie jak platformy pożyczkowe). Przejęcie konta biznesowego otwiera drogę do oszustw kredytowych i przekierowywania płatności, co jest znacznie bardziej opłacalne niż kradzież tysięcy zwykłych kont konsumenckich.
Incydent ten jest ostatecznym dowodem na to, że bezpieczeństwo to nie tylko firewalle i szyfrowanie, ale przede wszystkim rygorystyczne testowanie każdego, nawet najmniejszego wdrożenia nowego kodu przed udostępnieniem go klientom.
Artykuł powstał na podstawie informacji opublikowanych przez Cybernews.
