En décembre 2025, PayPal a découvert une faille dans son application PayPal Working Capital (PPWC). L’application permet aux entreprises qui vendent des biens ou des services sur PayPal de contracter des prêts, en fonction des ventes enregistrées sur la plateforme. L’entreprise rembourse alors le prêt avec ses futures ventes PayPal, sans date fixe ni pénalités. L’offre est disponible dans une poignée de pays, y compris en France  depuis 2022. 

Le service de paiement s’est rendu compte qu’une mise à jour de l’application, déployée en juillet 2025, avait introduit une vulnérabilité. Exploité par un pirate, ce bug logiciel a exposé les données des personnes qui ont demandé un prêt sur PayPal, comme le nom, l’adresse e‑mail, le numéro de téléphone, l’adresse professionnelle, le numéro de sécurité sociale et la date de naissance.

À lire aussi : 184 millions de mots de passe piratés – des identifiants Apple, Facebook, Google, et Microsoft ont