ทางด้าน Wongnai แพลตฟอร์มไลฟ์สไตล์ครบวงจรรีวิว อาหาร ความงาม และท่องเที่ยวสัญชาติไทยแท้ได้ออกมายอมรับว่า ทางระบบได้ถูกมือดีเจาะเข้าสู่ฐานข้อมูลไปเมื่อสุดสัปดาห์ที่ผ่านมา โดยเผยว่าเบื้องต้นได้เร่งแก้ไขปิดช่องโหว่เป็นที่เรียบร้อยพร้อมแจ้งเตือนให้สมาชิกที่ได้รับผลกระทบข้อมูลส่วนบุคคลหลุดกว่า 4 ล้านรายการ ล่าสุด Wongnai ก็ออกนโยบายบังคับ Reset Password ให้กับผู้ใช้งานทั้งระบบ 15 พ.ย. นี้เพื่อความปลอดภัย

ระบบถูกเจาะ แก้ไขแล้วทันที… แต่ข้อมูลหลุดกว่า 4 ล้านรายการเป็นข้อมูลส่วนบุคคลทั้งหมด !

ในเหตุการณ์เดียวกันกับกรณี ระบบฐานข้อมูลของ Lazada ในสิงคโปร์ที่ถูกแฮกเสียหายกว่า 1.1 ล้านบัญชีไปเมื่อวันก่อน ตามรายงานชุดเดียวกันนี้พบว่ามีทั้งหมด 17 บริษัทที่ได้รับผลกระทบจากการโจรกรรมข้อมูลครั้งนี้ โดยมีรายชื่อของบริษัทสัญชาติไทยแท้ ๆ นั่นคือแพลตฟอร์มไลฟ์สไตล์ยอดนิยมของคนไทยอย่าง Wongnai ซึ่งถูกเจาะระบบ เข้าถึงฐานข้อมูลสมาชิก ข้อมูลหลุดไปกว่า 4 ล้านรายการ ทั้งนี้ ไม่มีการยืนยันว่าเป็น 4 ล้านรายชื่อบุคคล หรือ 4 ล้านชุดข้อมูลซึ่งอาจไม่ใช่เป็นการนับจำนวนผู้เสียหายโดยตรง อย่างไรก็ตามถือว่าเยอะมากอยู่ดี

แต่ทาง Wongnai เองไม่ได้นิ่งนอนใจรีบตรวจสอบพร้อมจัดการปิดช่องโหว่ทันทีในวันที่ทราบเหตุ โดยยังรายงานการตรวจสอบเพิ่มเติมด้วยว่า ไม่มีการกระทำร้ายแรงอื่น ๆ บนระบบนอกจากการดึงข้อมูลออกไปกว่า 4.3 ล้านรายการตามรายงานข่าว แต่แน่นอนว่าข้อมูลที่หลุดไปนั้นเป็นข้อมูลส่วนบุคคลของลูกค้าอย่างพวกเราทุกคนล้วน ๆ โดยมีชุดข้อมูลที่หลุดไปตามชี้แจงดังนี้

  • ชื่อ – สกุล ผู้ใช้งาน วันเกิด พร้อมรหัสไปรษณีย์ตามที่อยู่อาศัยในระบบ
  • เบอร์โทรศัพท์
  • อีเมล
  • รหัสผ่าน (ที่ถูกเข้ารหัสเอาไว้ – ไม่มีข้อมูลการปลดล็อค)
  • ชื่อบัญชี Facebook – Twitter และ LINE กรณีมีการผูกบัญชีระบบสมาชิก

ทั้งนี้ Wongnai แจ้งว่าไม่มีการเข้าถึงข้อมูลทางการเงิน บัญชีบัตร หรือธนาคารใด ๆ เพราะทาง Wongnai ไม่มีการเก็บข้อมูลดังกล่าวเอาไว้ในฐานข้อมูลของพวกเขา โดยเบื้องต้น Wongnai แนะนำให้ผู้ใช้งานทั้งหมดในระบบเปลี่ยน Password ซึ่งจะมีการบังคับ Reset Password ใหม่ทั้งหมดในวันที่ 15 พ.ย. นี้เพื่อให้มั่นใจว่าบัญชีทั้งหมดจะยังคงปลอดภัย

ส่วนบัญชีที่มีการผูกเอาไว้กับบัญชีใช้งานโซเชียลมีเดียหรือ Ecosystem ภายนอกทั้งหลายไม่ว่าจะเป็น Facebook – LINE – Google – Apple นั้นจะไม่มีปัญหาในเรื่องของรหัสอย่างแน่นอน มีเพียงข้อมูลชื่อผู้ใช้งานที่ผูกอยู่หลุดออกไปเท่านั้น แน่นอนว่าปลอดภัยในระดับการจำกัดการเข้าถึง แต่ก็ยังถือว่าข้อมูลส่วนบุคคลของพวกเราหลุดออกไปอยู่ดีนะ 🙄

ส่อแววมีความรับผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไทย แต่เลื่อนออกไปแล้วก่อนหน้านี้

งานนี้จะเห็นได้ว่าเป็นปัญหาการบริหารจัดการความปลอดภัยด้านระบบให้กับข้อมูลส่วนบุคคลของพวกเรา ซึ่งกรณีปล่อยให้เกิดปัญหาขึ้นมาได้ง่ายแบบนี้ และยังไม่มีท่าทีเรื่องของการเยียวยาในข้อมูลชุดที่หลุดออกไป มีเพียงแต่การเร่งปิดช่องโหว่ซึ่งตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นก็ถือว่าทำได้รวดเร็วดี แต่อาจจะไม่เพียงพอ เพราะข้อมูลที่หลุดออกไปแล้วนั้น ตามหลักการสากลเรื่องนี้ถือว่าหลุดแล้วหลุดเลย เสียหายแล้ว เป็นคนละส่วนกับการจัดการปิดช่องโหว่เพื่อความปลอดภัยหลังจากนี้เท่านั้นนั่นเอง

อย่างไรก็ตามหากเพื่อน ๆ ชาว DroidSans ได้ติดตามตัวกฎหมายนี้กันอย่างใกล้ชิดมาตลอดจะพบว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 ที่ประกาศใช้ไปแล้วนั้นมีการเลื่อนการบังคับใช้ไปจนช่วงเดือนพฤษภาคมปี 2564 เลยซึ่งหมายความว่า การที่องค์กรหรือธุรกิจใด ๆ เช่นนี้ทำข้อมูลหลุดไปนั้น ก็ไม่น่าจะต้องได้รับโทษหรือมีการเยียวยาใด ๆ เว้นแต่ว่าจะมีความเสียหายเกิดขึ้นจริงแล้วในภายหลัง ซึ่งจะเป็นไปตามกฎหมายอื่น ไม่ครอบคลุมเท่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนั่นเอง

งานนี้ต้องรอดูกันต่อไปว่าหากผ่านพ้นช่วงเวลาบังคับใช้ใหม่ของกฎหมายที่ว่านี้แล้ว (พ.ค. 2564) เกิดปัญหาแบบนี้ขึ้นอีก ภาครัฐไทยนั้นจะมีแนวปฏิบัติอย่างไร เพราะข้อมูลส่วนบุคคลหรือ Data Privacy นั้นจะกลายเป็นประเด็นสำคัญมากขึ้นเรื่อย ๆ ต่อไปในอนาคตในฐานะสัดส่วนเรื่องสิทธิเรื่องใหม่บนโลกออนไลน์อันเป็นส่วนหนึ่งของประเด็นปัญหาเรื่องสิทธิมนุษยชน

 

อ่านเพิ่มเติม: PDPA | กฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อชาวเน็ต… ที่ถูกเลื่อนออกไปอีก 1 ปี

ที่มา: แถลงการณ์จาก Wongnai | BleepingComputer