PayPal офіційно підтвердив наявність критичної вразливості в логіці обробки API-запитів, яка призвела до несанкціонованого доступу до ряду бізнес-рахунків. Помилка дозволяла зловмисникам обходити багатофакторну автентифікацію за певних умов сесії, що давало можливість переглядати фінансові звіти та ініціювати транзакції без підтвердження власником.

Компанія вже випустила термінове виправлення на стороні сервера, проте тисячі власників бізнес-акаунтів по всьому світу були змушені тимчасово призупинити операції для перевірки цілісності своїх даних. Цей інцидент став наочним уроком того, що навіть перевірені часом платформи можуть мати “дитячі помилки” в коді, які в умовах 2026 року коштують мільйони доларів за лічені години простою.