404 Not Found
Writer
PayPal vừa xác nhận một vụ rò rỉ dữ liệu liên quan đến chương trình cho vay doanh nghiệp PayPal Working Capital khiến một số khách hàng bị truy cập trái phép thông tin cá nhân, phát sinh giao dịch không được ủy quyền và buộc phải đặt lại mật khẩu tài khoản.
Theo thông báo gửi đến người dùng, kẻ tấn công đã truy cập vào hệ thống từ ngày 1/7/2025 nhưng đến 12/12/2025 PayPal mới phát hiện và chấm dứt sự việc. Như vậy, khoảng thời gian dữ liệu có nguy cơ bị truy cập trái phép kéo dài suốt sáu tháng. Công ty cho biết sự cố xuất phát từ một thay đổi mã liên quan đến quy trình xử lý hồ sơ vay. Tuy nhiên, trong phát biểu gửi truyền thông, đại diện PayPal lại khẳng định hệ thống không bị xâm nhập. Sự khác biệt trong cách diễn đạt này khiến nhiều người đặt câu hỏi về bản chất thực sự của vụ việc.
PayPal nói chỉ khoảng 100 khách hàng bị ảnh hưởng và những tài khoản phát sinh giao dịch trái phép đã được hoàn tiền. Dù con số không lớn, loại dữ liệu có nguy cơ bị truy cập lại rất nhạy cảm, bao gồm họ tên, email, số điện thoại, địa chỉ kinh doanh, số an sinh xã hội và ngày sinh. Với những thông tin này, kẻ gian hoàn toàn có thể thực hiện các chiến dịch lừa đảo nhắm mục tiêu tinh vi hơn, đặc biệt với doanh nghiệp nhỏ.
Email thông báo về vụ rò rỉ dữ liệu của PayPal
Đây không phải lần đầu PayPal đối mặt rủi ro an ninh mạng. Năm 2023, gần 35.000 tài khoản từng bị truy cập bằng hình thức tấn công thử đăng nhập hàng loạt sử dụng thông tin bị rò rỉ từ các nền tảng khác. Tin tặc tận dụng danh sách tài khoản và mật khẩu đã lộ để tự động đăng nhập vào nhiều dịch vụ khác nhau, khai thác thói quen dùng chung mật khẩu của người dùng. Cuối năm 2025, nhiều chiến dịch giả mạo cũng lợi dụng chính hạ tầng hợp pháp của PayPal để gửi hóa đơn và email đánh lừa người dùng gọi vào số điện thoại do kẻ gian kiểm soát.
Sau khi phát hiện sự cố lần này, PayPal cho biết đã chấm dứt quyền truy cập trái phép, đặt lại mật khẩu các tài khoản bị ảnh hưởng và cung cấp hai năm dịch vụ giám sát tín dụng miễn phí thông qua Equifax. Người dùng có thể được yêu cầu tạo mật khẩu mới khi đăng nhập.
Dù không nằm trong nhóm bị ảnh hưởng, người dùng vẫn nên chủ động kiểm tra lịch sử giao dịch, sử dụng mật khẩu riêng cho từng dịch vụ, tránh nhấp vào liên kết trong email lạ và không bao giờ cung cấp mã xác thực qua điện thoại hay tin nhắn. Khi có nghi ngờ, hãy truy cập trực tiếp vào trang PayPal bằng cách tự gõ địa chỉ trên trình duyệt thay vì bấm vào liên kết được gửi sẵn.
Vụ việc cho thấy trong thế giới tài chính số, rủi ro không chỉ nằm ở quy mô bao nhiêu tài khoản bị ảnh hưởng mà còn ở việc một lỗ hổng có thể tồn tại bao lâu trước khi bị phát hiện. Sáu tháng là khoảng thời gian đủ dài để dữ liệu nhạy cảm bị khai thác theo nhiều cách khác nhau. Sự cảnh giác của người dùng vì thế luôn là lớp phòng thủ quan trọng cuối cùng.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview