สรุปกรณีข้อมูลส่วนตัวประชาชนกว่า 5 ล้านรายทั้ง ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมล บนบัตร The 1 ถูกแฮก
ที่ผ่านมาเกิดเหตุการณ์ ที่อาจทำให้ข้อมูลของคนมากกว่า 5 ล้านคนรั่วไหล เมื่อวันที่ 19 พฤศจิกายน 2567 มีแฮกเกอร์ชื่อ 0mid16B ได้อ้างว่าได้แฮกข้อมูลสมาชิกบัตร The 1 (เดอะวัน) หรือบัตรสะสมคะแนนของกลุ่มธุรกิจเซ็นทรัล พร้อมกับระบุว่าเป็น ‘การละเมิดข้อมูลสมาชิกครั้งใหญ่ ของบริษัทพาณิชย์ที่ใหญ่ที่สุดในประเทศไทย’
ประเด็นนี้ได้รับความสนใจอย่างมาก เนื่องจากเซ็นทรัลเป็นกลุ่มธุรกิจขนาดใหญ่ ที่ครอบคลุมสินค้าและบริการมากมาย ในหลายจังหวัด โดยหนึ่งในนั้นคือธุรกิจห้างที่หลายคนคุ้นเคย และเป็นสมาชิก ทั้งนี้เมื่อปี 2562 สำรวจพบว่าบัตร The 1 มีจำนวนสมาชิก มากกว่า 17 ล้านราย หรือนับเป็น 25% ของประชากรไทยทั้งประเทศ
รายละเอียดการแฮกข้อมูล
แฮกเกอร์ ระบุว่าได้แฮกข้อมูลส่วนบุคคลของสมาชิกจำนวน 5,108,826 ราย ซึ่งมีขนาดข้อมูลทั้งหมด 582MB โดยครอบคลุมทั้งชื่อ นามสกุล หมายเลขสมาชิก หมายเลขบัตรประชาชน ประเทศ เบอร์โทรศัพท์ และอีเมล
จากนั้นแฮกเกอร์อ้างว่า ได้ติดต่อฝ่ายบริหารแต่การเจรจาไม่ประสบผล จึงตัดสินใจประกาศขายข้อมูลของสมาชิกบัตร The 1 บนดาร์กเว็บ พร้อมเผยแพร่วิดีโอวิธีตรวจสอบข้อมูลตัวอย่าง และข้อมูลสมาชิกบางส่วน ทั้งนี้ระบุว่า “บริษัทไทยไม่ใส่ใจเรื่องการปกป้องข้อมูล เพราะจะไม่มีอะไรเกิดขึ้นกับพวกเขา ไม่มีค่าปรับ PDPA ไม่มีการชดเชยให้กับลูกค้า และไม่มีความรับผิดชอบ #ฮ่าๆ คนไทยไม่เรียกร้องสิทธิของตัวเอง”
การชี้แจงจากบริษัทฯ
ด้านบริษัท เดอะวันเซ็นทรัล ก็ได้ออกมาชี้แจง โดยสมาชิกบัตร The 1 หลายคนได้รับข้อความที่ยืนยันว่า
“ไม่มีข้อมูลส่วนบุคคลอ่อนไหว หรือข้อมูลทางการเงิน และยังไม่พบช่องโหว่หรือจุดบกพร่องด้านความปลอดภัย ของระบบจัดเก็บข้อมูล” โดยทางบริษัทฯ ระบุว่า ขออภัยอย่างจริงใจต่อเหตุการณ์ที่เกิดขึ้น และเข้าใจถึงความกังวลของลูกค้า
แถลงการณ์จากแฮกเกอร์
ไม่นานหลังจากนั้น 0mid16B กล่าวว่าได้รับการติดต่อจากนักข่าวไทยจำนวนมาก จึงมีแถลงการณ์ซึ่งระบุว่า ในช่วง 5 ปีที่ผ่านมา มีบริษัท และหน่วยงานภาครัฐของไทยหลายแห่ง ถูกแฮกข้อมูลส่วนตัวของประชาชนไป โดยเขาตั้งคำถามว่า “สังคมไทยเคยคิดบ้างไหม?” ว่าใครเป็นผู้รับผิดชอบ ประชาชนเคยได้รับการชดเชย เมื่อข้อมูลส่วนตัวถูกขโมยหรือไม่ และรัฐบาลเคยบังคับใช้กฎหมาย PDPA กับบริษัทเหล่านี้หรือไม่
ทั้งนี้แฮกเกอร์กล่าวในแถลงการณ์ว่า “สิ่งที่เราทำนั้นผิด เราไม่เคยบอกว่ามันถูกต้อง แต่หากไม่มีแฮกเกอร์อย่างเรา บริษัทต่างๆ จะสนใจที่จะปกป้องข้อมูลส่วนบุคคลของผู้ใช้หรือไม่ กฎหมาย PDPA ในประเทศไทย – กฎหมายที่ไม่มีการบังคับใช้ ก็เป็นเพียงคำพูดเท่านั้น”
PDPC เร่งตรวจสอบภายใน 7 วัน
ด้าน เวทางค์ พ่วงทรัพย์ รักษาการแทนเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) ได้กล่าวต่อสื่อ เมื่อวันที่ 21 พฤศจิกายน ว่าได้รับคำสั่งจาก ประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DE) ให้ตรวจสอบเหตุการณ์ที่เกิดขึ้นอย่างเร่งด่วน พร้อมรายงานความคืบหน้า ภายใน 7 วัน
ทั้งนี้ เวทางค์ระบุว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ของบริษัทฯ แจ้งว่ากำลังดำเนินการตรวจสอบ แต่เบื้องต้นยังไม่พบช่องโหว่ หรือร่องรอยข้อมูลรั่วไหล รวมถึงได้แจ้งความดำเนินคดีกับตำรวจไซเบอร์ เพื่อลงโทษผู้กระทำผิดตามกฎหมาย
“รองนายกฯ ประเสริฐ ได้สั่งการให้เร่งหาข้อเท็จจริง และย้ำเตือนถึงการขายข้อมูลโดยมิชอบ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผิดกฎหมาย ซึ่งมีโทษทั้งทางแพ่ง อาญา และปกครองตาม พ.ร.บ.คอมพิวเตอร์ และ PDPA โดยกำชับให้มีการบังคับใช้กฎหมายอย่างเคร่งครัด” เวทางค์กล่าว
อย่างไรก็ตาม ล่าสุด 0mid16B ได้ประกาศปล่อยข้อมูลบางส่วน 5 แสนราย/สัปดาห์ โดยตัดส่วนที่เป็นข้อมูลการติดต่อออกไป ทั้งนี้เขาระบุว่าจะปล่อยข้อมูลอีก 5 แสนราย ในวันพรุ่งนี้ (27 พฤศจิกายน) หากบริษัทฯ ยังคงปฏิเสธความรับผิดชอบ
อ้างอิงจาก