ปลายเดือนตุลาคมที่ผ่านมา พบการายงานว่ามี 17 บริษัทที่ได้รับผลกระทบจากการถูกโจรกรรมข้อมูล โดยมีรายชื่อของบริษัทสัญชาติไทย Wongnai ที่โดนแฮกข้อมูลกว่า 4 ล้านรายการด้วย

ซึ่ง Wongnai หลังจากที่ได้ทราบสาเหตุ ก็เร่งดำเนินการปิดช่องโหว่ทันที พร้อมทั้งแจ้งประกาศแก่สมาชิกในอีเมล ดังนี้

เรียนท่านผู้ใช้งาน

เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ตรวจสอบพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต ทีมงาน Wongnai ตรวจพบช่องทางที่ถูกใช้เข้าระบบ แต่ไม่พบการกระทำอย่างอื่นนอกจากการดึงข้อมูลบางส่วนจากในระบบ ซึ่งเราได้จัดการแก้ไขช่องทางดังกล่าวเสร็จเรียบร้อยแล้ว

ข้อมูลที่ถูกเข้าถึงคือ

  • อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
  • ไม่มี ข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

หากท่านเข้าสู่ Wongnai ด้วยการใช้อีเมลหรือเบอร์โทรศัพท์

เราส่งเมลนี้ให้ผู้ใช้ของเราทราบถึงเหตุการณ์ เพื่อให้เปลี่ยนรหัสผ่านโดยเร็วที่สุด แม้รหัสผ่านในฐานข้อมูลของเราถูกเข้ารหัสไว้อีกชั้น แต่เราก็แนะนำว่าควรเปลี่ยนรหัสผ่านโดยทันที และเราจะเริ่มบังคับรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมดที่ยังไม่เปลี่ยนรหัสผ่านในวันที่ 15 พฤศจิกายน 2563 หากท่านใช้รหัสผ่านเดียวกันบนเว็บไซต์อื่น ก็ควรเปลี่ยนรหัสผ่านบนเว็บไซต์อื่นด้วยเช่นเดียวกัน

หากท่านเข้าสู่ Wongnai ด้วยการใช้ 3rd Party Login (LINE, Facebook, Google, Apple)

ไม่มีความเสี่ยงเรื่องรหัสผ่าน เนื่องจากท่านไม่เคยสร้างรหัสผ่านกับทาง Wongnai แต่อย่างไรก็ตามเราต้องขออภัยเป็นอย่างสูงกับเหตุการณ์ที่เกิดขึ้น ส่วนบัญชีและรหัสผ่านของระบบ LINE/Facebook/Google/Apple ไม่มีความเสี่ยงใดๆ

ทางทีม Wongnai ขออภัยอย่างที่สุดกับปัญหาที่เกิดขึ้น ทีมวิศวกรของเราตระหนักถึงปัญหาและกำลังเร่งปรับปรุงระบบให้ปลอดภัยยิ่งขึ้น เพื่อให้มั่นใจว่าข้อมูลของท่านได้รับความคุ้มครองอย่างเหมาะสม

Wongnai ขอยืนยันในการมุ่งพัฒนาแพลตฟอร์มเพื่อมอบประสบการณ์ที่ดีแก่ผู้ใช้งานต่อไป

คุณสามารถตรวจสอบสถานะล่าสุดของเหตุการณ์นี้ได้จาก www.wongnai.com/pages/wongnai-security-incident

การแฮกในครั้งนี้ไม่กระทบต่อสมาชิกที่ล็อคอินผ่าน LINE/Facebook/Google/Apple แต่สำหรับสมาชิกของ Wongnai ที่สมัครบัญชีเข้าใช้งานโดยเฉพาะ ขอให้เปลี่ยนรหัสผ่านโดยด่วน

การถูกแฮกข้อมูลส่วนบุคคลของ Wongnai เข้าข่ายผิด พรบ.คุ้มครองข้อมูลส่วนบุคคลหรือไม่ !?

การที่เกิดเหตุการณ์ดังกล่าวนี้ เมื่อมีการรั่วไหลของข้อมูลเกิดขึ้น Wongnai ได้ดำเนินการแก้ไขปิดช่องโหว่แล้วทันที แต่ไม่ได้มีการเยียวยาผู้ใช้งานตามกฏหมาย ด้วยการที่ พรบ. คุ้มครองข้อมูลส่วนบุคคล เลื่อนออกไป อีก 1 ปี คือ ปี 2564 จะพร้อมบังคับใช้ จึงทำให้ขณะนี้ Wongnai ไม่ผิดตามกฏหมายใดๆ

แต่หากมีเหตุการณ์นี้เกิดขึ้นซ้ำอีกครั้งในปีหน้า อาจจะต้องถกเถียงถึงประเด็นการรับมืออย่างไรไม่ให้ถูกแฮกอีก ถือว่าเป็นเคสที่น่าสนใจอย่างยิ่ง เพื่อให้บริษัทอื่น ๆ ได้ตระหนักถึงการรักษาความปลอดภัยของข้อมูลผู้ใช้งานมากขึ้น

ที่มา:



เนื้อหาที่เกี่ยวข้อง

1. ตามหาทุกภัยที่ “ซุกซ่อน” ด้วยบริการ Threat Hunting

2. บัญชีผู้ใช้ Spotify รั่วไหล กว่า 300,000 บัญชี เหตุรหัสผ่านง่ายเกินไป

3. พบช่องโหว่สั่งงานด้วยเสียง Comcast XR11 เสี่ยงอาจกลายเป็น spyware

4. Ragnar Locker ซื้อโฆษณา Facebook ขู่ปล่อยข้อมูลของ Campari

5. ข้อมูลลูกค้า 2.7 ล้านคน ของ Friendemic โดนเข้าถึงแบบสาธารณะ