De bug werd ontdekt door bureau Vulnerability Lab. Zij stelden PayPal al in april 2013 op de hoogte en werkten tot voor kort samen aan een oplossing. Pas op 25 oktober dit jaar werd het gat gedicht. Dat blijkt uit een rapportage van het bedrijf. Hierin worden ook details rond het lek bekend gemaakt. Waarom het zo lang heeft moeten duren en of het lek tussentijds is misbruikt, is vooralsnog niet duidelijk.

Het is niet de eerste keer dat PayPal dit jaar negatief in het nieuws komt wat betreft security. Zo kampte het eerder al maanden met een kwetsbaarheid in de tweefactor authenticatie en weigerde het bedrijf volgens de 17-jarige ontdekker lange tijd serieus naar het probleem te kijken.

Moederbedrijf eBay ging in de fout door eind februari de inloggegevens van alle 145 miljoen klanten te lekken. Destijds zou de database van PayPal afgeschermd zijn gebleven.