Pa**al 再曝安全漏洞：持续泄露用户隐私近半年，已向被盗刷者退款

2 月 20 日消息，据 BleepingComputer 今日报道，Pa**al 正就一起严重数据泄露事件通知用户：由于其贷款 App 中的一个 Bug，去年近六个月内用户的敏感个人信息（包括社会安全号码）遭到暴露。

此次事件中的 Pa**al 营运资金贷款应用（PPWC）主要为小微企业提供快速融资服务。Pa**al 于 2025 年 12 月 12 日发现漏洞，确认自 2025 年 7 月 1 日起，客户姓名、电子邮箱、电话号码、企业地址、社会安全号码及出生日期等信息均处于暴露状态。

该公司表示已撤销导致该事件的代码变更，并在发现漏洞次日阻断了攻击者访问通道。

“2025 年 12 月 12 日，Pa**al 确认因 PPWC 贷款应用中的错误，少量客户的个人身份信息在 2025 年 7 月 1 日至 12 月 13 日期间被未授权方获取，我们已回滚引发该错误的代码变更，此次通知未受任何执法调查影响。”

作为事件的直接后果，Pa**al 发现少量客户账户出现未授权交易，已向受影响用户退款。

Pa**al 建议受影响客户监控信用报告及账户异常交易，并特别提醒：“Pa**al 永远不会通过电话、短信或邮件索要账户密码、一次性验证码等认证凭证”—— 这是数据泄露后网络钓鱼攻击的常用手段。

尽管尚未公布具体受影响人数，Pa**al 已重置所有相关账户密码。未主动修改密码的用户将在下次登录时被提示更新凭证。

在此之前，2023 年 1 月，Pa**al 曾因 2022 年 12 月 6 日至 8 日遭遇大规模撞库攻击致使 35,000 个账户泄露而通知用户。两年后的 2025 年 1 月，纽约州政府以 Pa**al 违反网络安全法规导致 2022 年数据泄露为由，对其处以 200 万美元（注：现汇率约合 1383.2 万元人民币）罚款达成和解。