PayPal เปิดเผยเหตุข้อมูลรั่วไหลที่ทำให้ข้อมูลผู้ใช้ถูกเปิดเผยนาน 6 เดือน

 (bleepingcomputer.com)
2 คะแนน โดย GN⁺ 2026-02-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ข้อผิดพลาดในระบบยื่นขอสินเชื่อ ทำให้ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ของลูกค้าถูกเปิดเผยต่อภายนอกเป็นเวลาประมาณ 6 เดือน
  • ข้อมูลที่ถูกเปิดเผยประกอบด้วย ชื่อ อีเมล หมายเลขโทรศัพท์ ที่อยู่สถานประกอบการ หมายเลขประกันสังคม และวันเดือนปีเกิด
  • PayPal ระบุว่าหลังพบปัญหา บริษัทได้ ย้อนการเปลี่ยนแปลงโค้ดเพื่อปิดกั้นการเข้าถึง ในวันถัดมา และดำเนินการ คืนเงินสำหรับธุรกรรมที่ไม่ได้รับอนุญาต ในบางบัญชี
  • มอบ บริการติดตามเครดิตและกู้คืนตัวตนเป็นเวลา 2 ปีผ่าน Equifax ให้ลูกค้าที่ได้รับผลกระทบโดยไม่มีค่าใช้จ่าย
  • บริษัทอธิบายว่าไม่มีการเจาะระบบ และ มีข้อมูลลูกค้าเพียงราว 100 รายที่ถูกเปิดเผย

ภาพรวมของเหตุข้อมูลรั่วไหล

  • ข้อผิดพลาดของซอฟต์แวร์ใน PayPal Working Capital (แอปพลิเคชันสินเชื่อ) ทำให้ข้อมูลลูกค้าถูกเปิดเผยต่อภายนอก
    • ยืนยันว่าช่วงเวลาที่มีการเปิดเผยคือ 1 กรกฎาคม 2025 ถึง 13 ธันวาคม 2025
    • ข้อมูลที่ถูกเปิดเผยประกอบด้วยชื่อ อีเมล หมายเลขโทรศัพท์ ที่อยู่สถานประกอบการ หมายเลขประกันสังคม และวันเดือนปีเกิด
  • PayPal พบปัญหาเมื่อ 12 ธันวาคม 2025 และในวันถัดมาได้ ย้อนการเปลี่ยนแปลงโค้ดเพื่อปิดกั้นการเข้าถึง
  • บริษัทระบุว่าจากข้อผิดพลาดนี้ ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ (PII) ของลูกค้าจำนวนน้อยถูกเปิดเผยต่อผู้ที่ไม่ได้รับอนุญาต

มาตรการตอบสนองและการคุ้มครองลูกค้า

  • PayPal ได้ คืนเงินให้ลูกค้าบางรายที่เกิดธุรกรรมโดยไม่ได้รับอนุญาต
  • มอบ บริการติดตามของ 3 บริษัทเครดิตรายใหญ่และบริการกู้คืนตัวตนของ Equifax ฟรีเป็นเวลา 2 ปีให้ลูกค้าที่ได้รับผลกระทบ
    • กำหนดเส้นตายในการลงทะเบียนใช้บริการคือ 30 มิถุนายน 2026
  • รีเซ็ตรหัสผ่าน ของทุกบัญชีที่ได้รับผลกระทบ และกำหนดให้สร้างข้อมูลรับรองใหม่เมื่อเข้าสู่ระบบครั้งถัดไป
  • แนะนำให้ลูกค้า ติดตามรายงานเครดิตและกิจกรรมในบัญชี
  • PayPal ย้ำอีกครั้งว่า จะไม่ขอรหัสผ่านหรือรหัสยืนยันผ่านโทรศัพท์ ข้อความ หรืออีเมล

จุดยืนของบริษัทและคำอธิบายเพิ่มเติม

  • หลังบทความได้รับการอัปเดต โฆษกของ PayPal ระบุว่า ตัวระบบเองไม่ได้ถูกเจาะ
    • ลูกค้าที่ได้รับผลกระทบมี ประมาณ 100 ราย และย้ำว่าเป็น การเปิดเผยจากข้อผิดพลาดของโค้ด ไม่ใช่การบุกรุกระบบ
    • พร้อมอธิบายว่า “หากมีความเป็นไปได้ที่ข้อมูลลูกค้าจะถูกเปิดเผย บริษัทมีหน้าที่ต้องแจ้งตามกฎหมาย”
  • กล่าวคือ ระบบความปลอดภัยยังคงทำงานอยู่ แต่ข้อบกพร่องของโค้ดทำให้ข้อมูลสามารถถูกเปิดดูจากภายนอกได้

เหตุการณ์ลักษณะคล้ายกันในอดีต

  • ใน ธันวาคม 2022 เคยมีกรณีบัญชี 35,000 บัญชีถูกเจาะจาก การโจมตีแบบ credential stuffing ขนาดใหญ่
  • ใน มกราคม 2025 รัฐนิวยอร์กได้กำหนด ค่าปรับยอมความ 2 ล้านดอลลาร์ กับ PayPal จากเหตุการณ์ดังกล่าว
    • เป็นบทลงโทษจากการที่ PayPal ไม่ปฏิบัติตามข้อกำหนดด้านความปลอดภัยไซเบอร์ของรัฐ ในขณะนั้น

สรุปปฏิกิริยาจากชุมชน

  • ผู้ใช้บางส่วนตั้งคำถามว่า “ถ้าระบบไม่ได้ถูกเจาะ เหตุใดข้อมูลจึงรั่วไหลได้”
  • คำอธิบายที่ยกขึ้นมาคือ “ระบบความปลอดภัยแน่นหนาเหมือนตู้เซฟ แต่ประตูเปิดค้างไว้เพราะข้อผิดพลาดของโค้ด
    • กล่าวคือ ไม่ใช่การแฮ็ก แต่เป็นกรณีที่ ข้อมูลถูกเปิดเผยสู่ภายนอกจากความผิดพลาดในโค้ดพัฒนา

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-22
ความคิดเห็นจาก Hacker News
  • เกือบ 20 ปีก่อน PayPal เคยเอาเงินฉันไป 15 ดอลลาร์โดยไม่มีเหตุผล
    หลังจากซื้อเกมครั้งหนึ่งแล้วปล่อยเงินที่เหลือทิ้งไว้ 6 เดือน พอจะเอาไปใช้บน eBay บัญชีก็ถูกล็อกทันที
    พอถึงขั้นขอเอกสารยืนยันตัวตนที่ต้องรับรองสำเนา ฉันก็ยอมแพ้ไปเลย หลังจากนั้นก็ตั้งใจว่า “จะไม่ใช้อีกเด็ดขาด” และจนถึงตอนนี้ก็ไม่เคยเสียใจเลยสักครั้ง
    พอเห็นว่ามีเรื่องใหม่ๆ เกิดขึ้นทุกปี ก็ยิ่งรู้สึกว่าการตัดสินใจตอนนั้นถูกต้องแล้ว
    หวังว่าสักวันจะมีใครสักคนฟ้องบริษัทนี้เป็นเงินก้อนโตจน ปิดกิจการ ไปได้
    • เคยเห็นโพสต์บน Reddit ว่า “PayPal ล็อกเงินฉัน 600,000 ดอลลาร์”
      ปรากฏว่านั่นคือเรื่องสมัยที่ Notch ขาย Minecraft เวอร์ชันอัลฟาผ่านเว็บไซต์ส่วนตัว ตอนนั้นมันดูเหมือนการหลอกลวงจริงๆ
    • ฉันเข้าใจว่าบริษัท ไม่สามารถหากำไรจากเงินที่ถูกปล่อยทิ้งไว้ ได้
      ปกติเงินแบบนี้น่าจะถูกโอนไปยังหน่วยงานทรัพย์สินที่ไม่มีผู้เรียกร้องของรัฐ
      ถ้าอย่างนั้นมันอาจไม่ใช่เรื่องความโลภ แต่เป็นแค่ ความไร้ความสามารถ ก็ได้
    • ฉันก็เคยพยายามสมัคร PayPal เพื่อรวบรวมเงินซื้อของขวัญให้เพื่อนร่วมงาน แต่ทันทีที่ยืนยันบัญชีธนาคารเสร็จก็บัญชีก็ถูกล็อก
      พอถูกให้โทรหาฝ่ายบริการลูกค้าและขอสแกนบัตรประชาชน ฉันก็ลบบัญชีทิ้งแล้วเปลี่ยนไปใช้ บัตรของขวัญดิจิทัล แทน
    • PayPal มี สถานะกึ่งผูกขาด และแทบไม่มีทางเลือกอื่นที่ใช้งานแทนได้จริง
  • ครั้งหนึ่ง PayPal เคยเป็น วิธีชำระเงินที่น่าเชื่อถือที่สุด บนอินเทอร์เน็ต
    แต่ตอนนี้แทนที่ได้ด้วย Stripe, Plaid, Google Pay, Apple Pay และอื่นๆ แล้ว และ PayPal ก็ช้า แถมการซัพพอร์ตยังแย่มาก
    จากมุมมองผู้บริโภคจึงไม่มีเหตุผลให้ต้องใช้อีกต่อไป
    • ถึงอย่างนั้นฉันก็เคยได้เงินคืนเพราะฟีเจอร์ G&S (ชำระค่าสินค้าและบริการ) ตอนโดนโกง
      ส่วน F&F (โอนให้เพื่อนและครอบครัว), Venmo หรือ Zelle ไม่มีการคุ้มครองแบบนั้น เลยเสี่ยงกว่า
    • PayPal ยังมี โครงสร้างค่าธรรมเนียมไมโครเพย์เมนต์ ที่ได้เปรียบอยู่
      ตัวอย่างเช่นที่ ardour.org มีการจ่ายเงิน 1 ดอลลาร์หลายพันครั้งต่อเดือน และ PayPal ช่วยประหยัดได้ 23 เซ็นต์ต่อธุรกรรม
    • Stripe หรือ Plaid รองรับประเทศค่อนข้างจำกัด
      ส่วน PayPal ยังมี การรับรู้ในระดับโลก สูงอยู่
    • ถ้าฉันใช้บัตรเครดิตจ่ายที่ Best Buy การชำระเงินมักถูกยกเลิกเสมอ แต่ถ้าใช้ PayPal จะผ่านได้ไม่มีปัญหา
      น่าจะเป็นเพราะ อัลกอริทึมตรวจจับการฉ้อโกง
    • เมื่อก่อน PayPal เป็นวิธีเดียวที่ทำให้จ่ายเงินข้ามประเทศได้ง่าย
      ช่วงหนึ่ง Stripe ก็รองรับเฉพาะสหรัฐฯ
  • ตามบทความ PayPal บอกว่า “ได้ย้อนการเปลี่ยนแปลงโค้ดที่ทำให้เกิดข้อผิดพลาดแล้ว และการแจ้งล่าช้าไม่ได้เกิดจากการสืบสวนของหน่วยงานบังคับใช้กฎหมาย”
    แต่เหตุผลของการ ล่าช้า 2 เดือน ก็ยังไม่ชัดเจน
    อย่างน้อยก็น่าจะเปิดเผยเรื่องข้อมูลรั่วไหลก่อนก็ได้
    • คำว่า “ไม่ได้เกิดจากการสืบสวนของหน่วยงานบังคับใช้กฎหมาย” เป็นการ ปฏิเสธที่เฉพาะเจาะจงจนน่าสงสัย
      มันแค่บอกว่า “ไม่ใช่เพราะการสืบสวน” แต่ก็ยังมีความเป็นไปได้อีกมากที่ทำให้ล่าช้า — เช่น “เพราะอับอาย”
    • ถ้าเป็นช่วงก่อนคริสต์มาสล่ะ? ฉันว่าไม่มีทางเปิดเผยในตอนนั้นแน่
  • คำพูดที่ว่า “ระบบของเราไม่ได้ถูกเจาะ” เป็นการ วางกรอบคำพูดอย่างแยบยล มาก
    ทั้งที่ SSN ถูกเปิดเผยอยู่ 6 เดือนเพราะข้อผิดพลาดในโค้ด แต่เพราะไม่มีการบุกรุกจากภายนอกจึงเรียกว่า “ไม่ใช่การเจาะระบบ”
    เราเห็นรูปแบบคล้ายกันนี้ซ้ำแล้วซ้ำอีกใน Firebase, Supabase, แอปเงินกู้ และอีกหลายกรณี
    ไม่ว่าจะเป็นการแฮ็กหรือแค่ ปล่อยประตูทิ้งไว้เปิดๆ จากมุมของผู้เสียหายมันก็คือปัญหาเดียวกัน
  • ไม่นานมานี้ฉันพยายามสมัคร PayPal แต่ก็ไม่สำเร็จเพราะ ขั้นตอนยืนยันตัวตน ที่เละเทะ
    พอเห็นความสามารถในการดึงผู้ใช้ใหม่ระดับนี้ เหตุการณ์ด้านความปลอดภัยก็ไม่ใช่เรื่องน่าแปลกใจเลย
    • ทุกวันนี้ทั้งการสมัครใหม่และการกลับมาใช้บัญชีที่ไม่ได้ใช้นานกำลังยากขึ้นเรื่อยๆ
      ปัญหาคือระบบอัตโนมัติมากเกินไปและ ขั้นตอนยืนยันตัวตนที่ล่วงล้ำเกินไป
      ฉันพยายามจ่ายเงิน Minecraft ให้ลูกผ่านบัญชี Microsoft แต่ตั้งแต่ล็อกอินจนถึงจ่ายเงินก็โดนขัดด้วยการยืนยันตัวตนและข้อผิดพลาดสารพัด
      ท้ายที่สุดก็กลายเป็นสถานการณ์ที่ ความปลอดภัยครอบงำประสบการณ์ผู้ใช้
  • มีข้อความบอกว่าจะให้ผู้เสียหายใช้ บริการเฝ้าระวังเครดิตของ Equifax เป็นเวลา 2 ปี ช่างเป็นมาตรการที่ “หรูหรา” จริงๆ
    • ถ้านึกถึง เหตุข้อมูลรั่วไหลของ Equifax ในปี 2017 ก็ยิ่งประชดประชันเข้าไปใหญ่
    • บริษัทส่วนใหญ่มองว่า “ต่อให้เกิดเหตุด้านความปลอดภัย แค่ให้บริการเฝ้าระวังเครดิตก็จบ”
      ผู้เสียหายฟ้องร้องจริงจังได้ยาก สุดท้ายก็ลงเอยเป็น คดีแบบกลุ่ม ที่มีแต่ทนายได้ประโยชน์
  • ในยุโรป ฉันหวังว่า WERO จะมาแทนที่ PayPal ได้ ถึงชื่อจะฟังตลกหน่อยก็เถอะ
    • Wero ก็ไม่ได้ต่างจาก การโอนเงิน SEPA ที่มีอยู่เดิม
      อย่างน้อย PayPal ก็ยังมี ระบบคุ้มครองผู้ซื้อ
    • ในบรรดาร้านค้าที่ฉันใช้ประจำ ตอนนี้ยังไม่มีที่ไหนรองรับ Wero เลยสักร้าน
  • มีคนถามว่า “แล้วครั้งนี้จะมีผู้บริหาร PayPal คนไหนติดคุกไหม?”
    • ฉันเองก็เคยคิดแบบนั้น แต่ตอนนี้เข้าใจแล้วว่า บริษัทอยู่เหนือกฎหมาย
      การจ่ายค่าปรับถูกกว่าการทำตามกฎหมาย และวงการการเมืองก็ตามเทคโนโลยีไม่ทัน
      สุดท้ายแล้ว การคุ้มครองผู้บริโภคถูกผลักไปไว้ทีหลัง
    • แต่ถ้าเป็นเหตุที่เกิดจาก บั๊ก ธรรมดา ฉันก็มองว่าการถึงขั้นติดคุกนั้นรุนแรงเกินไป
      ใครๆ ก็ผิดพลาดกันได้ และถ้าเป็นความผิดพลาดที่ไม่ได้เกิดจากเจตนาร้าย ก็ควรแก้ไขปรับปรุงมากกว่าลงโทษ
  • เมื่อกี้ฉันลองล็อกอินดู แล้วเจอข้อความให้ “รีเซ็ตรหัสผ่าน” จากนั้นพอผ่านแคปช่าหน้าก็หยุดค้างไปเลย
    สุดท้ายกลายเป็น บัญชีที่ถูกล็อกสนิท ไปเรียบร้อย เยี่ยมจริงนะ PayPal
  • มีใครบางคนเอาอีเมลของฉันไปสร้าง บัญชี PayPal สำหรับจ่ายเงินเว็บผู้ใหญ่ ทำให้แม้ตอนนี้ฉันจะเป็นผู้ใหญ่แล้วก็ยังสมัครด้วยอีเมลนั้นไม่ได้
    PayPal อนุญาตให้จ่ายเงินได้โดยไม่ต้องยืนยันอีเมล
    ฉันติดต่อฝ่ายบริการลูกค้าแล้ว แต่ก็ได้คำตอบแค่ว่า “ไม่มีวิธีแก้”
    เพราะงั้นฉันเลยใช้แค่ Stripe หรือ Link หรือไม่ก็ จ่ายด้วยบัตรเครดิตโดยตรง
    ในแคนาดานั้นตั้งแต่ปี 2003 ก็โอนเงินผ่าน e-Transfer ได้โดยไม่มีค่าธรรมเนียมอยู่แล้ว เลยไม่จำเป็นต้องใช้ PayPal เลย