ปลายเดือนตุลาคมที่ผ่านมา พบการายงานว่ามี 17 บริษัทที่ได้รับผลกระทบจากการถูกโจรกรรมข้อมูล โดยมีรายชื่อของบริษัทสัญชาติไทย Wongnai ที่โดนแฮกข้อมูลกว่า 4 ล้านรายการด้วย

ซึ่ง Wongnai หลังจากที่ได้ทราบสาเหตุ ก็เร่งดำเนินการปิดช่องโหว่ทันที พร้อมทั้งแจ้งประกาศแก่สมาชิกในอีเมล ดังนี้

เรียนท่านผู้ใช้งาน

เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ตรวจสอบพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต ทีมงาน Wongnai ตรวจพบช่องทางที่ถูกใช้เข้าระบบ แต่ไม่พบการกระทำอย่างอื่นนอกจากการดึงข้อมูลบางส่วนจากในระบบ ซึ่งเราได้จัดการแก้ไขช่องทางดังกล่าวเสร็จเรียบร้อยแล้ว

ข้อมูลที่ถูกเข้าถึงคือ

  • อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
  • ไม่มี ข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

หากท่านเข้าสู่ Wongnai ด้วยการใช้อีเมลหรือเบอร์โทรศัพท์

เราส่งเมลนี้ให้ผู้ใช้ของเราทราบถึงเหตุการณ์ เพื่อให้เปลี่ยนรหัสผ่านโดยเร็วที่สุด แม้รหัสผ่านในฐานข้อมูลของเราถูกเข้ารหัสไว้อีกชั้น แต่เราก็แนะนำว่าควรเปลี่ยนรหัสผ่านโดยทันที และเราจะเริ่มบังคับรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมดที่ยังไม่เปลี่ยนรหัสผ่านในวันที่ 15 พฤศจิกายน 2563 หากท่านใช้รหัสผ่านเดียวกันบนเว็บไซต์อื่น ก็ควรเปลี่ยนรหัสผ่านบนเว็บไซต์อื่นด้วยเช่นเดียวกัน

หากท่านเข้าสู่ Wongnai ด้วยการใช้ 3rd Party Login (LINE, Facebook, Google, Apple)

ไม่มีความเสี่ยงเรื่องรหัสผ่าน เนื่องจากท่านไม่เคยสร้างรหัสผ่านกับทาง Wongnai แต่อย่างไรก็ตามเราต้องขออภัยเป็นอย่างสูงกับเหตุการณ์ที่เกิดขึ้น ส่วนบัญชีและรหัสผ่านของระบบ LINE/Facebook/Google/Apple ไม่มีความเสี่ยงใดๆ

ทางทีม Wongnai ขออภัยอย่างที่สุดกับปัญหาที่เกิดขึ้น ทีมวิศวกรของเราตระหนักถึงปัญหาและกำลังเร่งปรับปรุงระบบให้ปลอดภัยยิ่งขึ้น เพื่อให้มั่นใจว่าข้อมูลของท่านได้รับความคุ้มครองอย่างเหมาะสม

Wongnai ขอยืนยันในการมุ่งพัฒนาแพลตฟอร์มเพื่อมอบประสบการณ์ที่ดีแก่ผู้ใช้งานต่อไป

คุณสามารถตรวจสอบสถานะล่าสุดของเหตุการณ์นี้ได้จาก www.wongnai.com/pages/wongnai-security-incident

การแฮกในครั้งนี้ไม่กระทบต่อสมาชิกที่ล็อคอินผ่าน LINE/Facebook/Google/Apple แต่สำหรับสมาชิกของ Wongnai ที่สมัครบัญชีเข้าใช้งานโดยเฉพาะ ขอให้เปลี่ยนรหัสผ่านโดยด่วน

การถูกแฮกข้อมูลส่วนบุคคลของ Wongnai เข้าข่ายผิด พรบ.คุ้มครองข้อมูลส่วนบุคคลหรือไม่ !?

การที่เกิดเหตุการณ์ดังกล่าวนี้ เมื่อมีการรั่วไหลของข้อมูลเกิดขึ้น Wongnai ได้ดำเนินการแก้ไขปิดช่องโหว่แล้วทันที แต่ไม่ได้มีการเยียวยาผู้ใช้งานตามกฏหมาย ด้วยการที่ พรบ. คุ้มครองข้อมูลส่วนบุคคล เลื่อนออกไป อีก 1 ปี คือ ปี 2564 จะพร้อมบังคับใช้ จึงทำให้ขณะนี้ Wongnai ไม่ผิดตามกฏหมายใดๆ

แต่หากมีเหตุการณ์นี้เกิดขึ้นซ้ำอีกครั้งในปีหน้า อาจจะต้องถกเถียงถึงประเด็นการรับมืออย่างไรไม่ให้ถูกแฮกอีก ถือว่าเป็นเคสที่น่าสนใจอย่างยิ่ง เพื่อให้บริษัทอื่น ๆ ได้ตระหนักถึงการรักษาความปลอดภัยของข้อมูลผู้ใช้งานมากขึ้น

ที่มา:



เนื้อหาที่เกี่ยวข้อง

1. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ

2. นักวิจัย Google พบรูปแบบโจมตีใหม่ของ Rowhammer

3. 23 Android แอปฯ ในสโตร์เปิดเผยข้อมูลผู้ใช้กว่า 100 ล้านบัญชี

4. ช่องโหว่ FragAttacks อาจกระทบอุปกรณ์ Wi-Fi จำนวนมาก

5. DarkSide ransomware โจมตีบริษัทจำหน่ายเคมีภัณฑ์อเมริกาเหนือ