PayPal betaalt de Amerikaanse staat New York twee miljoen dollar wegens het lekken van de gevoelige gegevens van tienduizenden klanten. Volgens de autoriteiten was de datadiefstal mogelijk doordat PayPal had nagelaten om gekwalificeerd personeel voor belangrijke cybersecurityfuncties te gebruiken en had het personeel geen adequate training geboden voor het verhelpen van cybersecurityrisico's.

In 2022 implementeerde PayPal een belastingformulier waarmee personen aangifte kunnen doen van inkomsten die via online platforms en apps zijn verkregen. Het is vooral bedoeld voor mensen die in de 'gig economy' werken, aldus de Amerikaanse belastingdienst IRS. PayPal verplicht voor nieuwe producten of nieuwe functies en features van een bestaand product om een 'Risk and Control Identification Process' (RCIP) uit te voeren. De aanpassingen en nieuwe code moeten dan worden gecontroleerd.

De PayPal-teams die de aanpassingen met betrekking tot het belastingformulier doorvoerden classificeerden die echter als een 'platformmigratie', waardoor er geen RCIP werd uitgevoerd. Het betreffende ontwikkelteam was volgens de Amerikaanse staat New York niet goed getraind met betrekking tot het beleid en procedures van PayPal, waardoor er geen risico assessment en penetratietest plaatsvond en er geen formele goedkeuring voor de lancering van het onderdeel werd gegeven.

Eind 2022 ontdekte een PayPal security-analist op internet een bericht met de titel 'PP EXPLOIT TO GET SSN' waarin werd uitgelegd hoe het mogelijk was om social-securitynummers van PayPal-klanten te bekijken. Later die dag ontdekte PayPal dat de online beschikbare formulieren niet gemaskeerde namen, geboortedata en volledige social-securitynummers bleken te bevatten. Tevens zag het securityteam dat aanvallers via credential stuffing toegang tot de informatie probeerden te krijgen.

Na ontdekking van de aanval implementeerde PayPal een captcha-oplossing en rate limiting. Ook werden de wachtwoorden van getroffen accounts gereset. Volgens de Amerikaanse staat New York heeft PayPal de wet overtreden door niet-publieke informatie onvoldoende te beschermen, niet-gekwalificeerd personeel voor belangrijke cybersecurityfuncties te gebruiken en het eigen cybersecuritybeleid onvoldoende te implementeren.