หลังเป็นกระแสข่าวเมื่อวันที่ 30 ตุลาคม 2563 ที่ผ่านมาเกี่ยวกับการโดนแฮกข้อมูลของวงใน (Wongnai) แอปพลิเคชั่นรีวิวสินค้าและบริการชั้นนำของไทยว่าโดนแฮกข้อมูลพร้อมกับหลายแอปพลิเคชั่นชั้นนำอย่าง LAZADA และ EATIGO ร่วมด้วย และสำหรับปัญหานี้ ทำให้แฮกเกอร์ได้ขโมยข้อมูลในส่วนของอีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์ แต่ไม่มีการเข้าถึงข้อมูลบัตรเครดิตหรือข้อมูลทางการเงิน ทำให้ผู้ใช้งานสามารถมั่นใจได้ว่าหลังจากเปลี่ยนพาสเวิร์ดเพื่อแก้ปัญหานี้แล้ว

เนื้อหาประกาศทางอีเมล์

เรียนท่านผู้ใช้งาน

เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ตรวจสอบพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต ทีมงาน Wongnai ตรวจพบช่องทางที่ถูกใช้เข้าระบบ แต่ไม่พบการกระทำอย่างอื่นนอกจากการดึงข้อมูลบางส่วนจากในระบบ ซึ่งเราได้จัดการแก้ไขช่องทางดังกล่าวเสร็จเรียบร้อยแล้ว

ข้อมูลที่ถูกเข้าถึงคือ

• อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
• ไม่มี ข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

หากท่านเข้าสู่ Wongnai ด้วยการใช้อีเมลหรือเบอร์โทรศัพท์
เราส่งเมลนี้ให้ผู้ใช้ของเราทราบถึงเหตุการณ์ เพื่อให้เปลี่ยนรหัสผ่านโดยเร็วที่สุด แม้รหัสผ่านในฐานข้อมูลของเราถูกเข้ารหัสไว้อีกชั้น แต่เราก็แนะนำว่าควรเปลี่ยนรหัสผ่านโดยทันที และเราจะเริ่มบังคับรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมดที่ยังไม่เปลี่ยนรหัสผ่านในวันที่ 15 พฤศจิกายน 2563 หากท่านใช้รหัสผ่านเดียวกันบนเว็บไซต์อื่น ก็ควรเปลี่ยนรหัสผ่านบนเว็บไซต์อื่นด้วยเช่นเดียวกัน

หากท่านเข้าสู่ Wongnai ด้วยการใช้ 3rd Party Login (LINE, Facebook, Google, Apple)
ไม่มีความเสี่ยงเรื่องรหัสผ่าน เนื่องจากท่านไม่เคยสร้างรหัสผ่านกับทาง Wongnai แต่อย่างไรก็ตามเราต้องขออภัยเป็นอย่างสูงกับเหตุการณ์ที่เกิดขึ้น ส่วนบัญชีและรหัสผ่านของระบบ LINE/Facebook/Google/Apple ไม่มีความเสี่ยงใดๆ

ทางทีม Wongnai ขออภัยอย่างที่สุดกับปัญหาที่เกิดขึ้น ทีมวิศวกรของเราตระหนักถึงปัญหาและกำลังเร่งปรับปรุงระบบให้ปลอดภัยยิ่งขึ้น เพื่อให้มั่นใจว่าข้อมูลของท่านได้รับความคุ้มครองอย่างเหมาะสม

Wongnai ขอยืนยันในการมุ่งพัฒนาแพลตฟอร์มเพื่อมอบประสบการณ์ที่ดีแก่ผู้ใช้งานต่อไป

คุณสามารถตรวจสอบสถานะล่าสุดของเหตุการณ์นี้ได้จาก wongnai.com/pages/wongnai-security-incident

คำถามที่พบบ่อย (FAQ)

Q: เกิดอะไรขึ้น?

เมื่อวันที่ 30 ตุลาคม 2563 เราได้รับทราบว่า Wongnai.com เป็นหนึ่งในเว็บไซต์หลายสิบเว็บไซต์ทั่วโลกที่ถูกขโมยข้อมูลส่วนตัวของผู้ใช้เมื่อช่วงเดือนตุลาคมที่ผ่านมา หลังจากเราทราบเรื่อง ก็ค้นพบช่องโหว่ในระบบและแก้ไขเรียบร้อยแล้ว

Q: ข้อมูลที่ถูกเข้าถึงมีอะไรบ้าง

• อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
• ไม่มี ข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

Q: ผู้ใช้ Wongnai ต้องทำอะไรต่อไป

รหัสผ่านของคุณถูกเข้ารหัสแบบย้อนกลับไม่ได้อีกชั้น แต่เพื่อความปลอดภัย เราแนะนำให้คุณตั้งรหัสผ่านของ Wongnai ใหม่ รวมถึงหากคุณใช้รหัสผ่านเดียวกันกับเว็บไซต์อื่น เราแนะนำว่าให้คุณเปลี่ยนรหัสผ่านของเว็บไซต์ดังกล่าวด้วย

Q: มีข้อมูลบัตรเครดิตถูกขโมยหรือไม่

เราไม่เคยเก็บหมายเลขบัตรเครดิตหรือข้อมูลทางการเงินอื่นๆ ในระบบของเรา ดังนั้นข้อมูลบัตรเครดิตของคุณปลอดภัย

Q: ถ้าหากฉันล็อกอินด้วยบัญชี Facebook/LINE/Google/Apple บัญชีเหล่านี้จะถูกเข้าถึงข้อมูลด้วยหรือไม่

ไม่ บัญชี Facebook/LINE/Google/Apple ของคุณไม่มีความเสี่ยงที่ถูกเข้าถึงข้อมูล เพราะ Wongnai ไม่มีสิทธิเข้าถึงชื่อบัญชี/รหัสผ่านของบัญชีเหล่านี้อยู่แล้ว ข้อมูลที่รั่วออกไปมีเพียงแค่ ID ของ Facebook/Twitter ซึ่งไม่สามารถใช้ล็อกอินได้

Q: Wongnai มีมาตรการอย่างไรบ้าง

เราตระหนักดีถึงความสำคัญถึงเรื่องนี้ และทีมวิศวกรของเรากำลังพัฒนาระบบความปลอดภัยให้ดีขึ้น รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยจะเข้ามาตรวจสอบระบบอย่างละเอียด เพื่อการันตีว่าเหตุการณ์ลักษณะนี้จะไม่เกิดขึ้นอีก

Q: หากมีคำถามหรือข้อสงสัยในเรื่องนี้และต้องการติดต่อ Wongnai เพื่อข้อมูลเพิ่มเติม

ต้องการติดต่อ Wongnai ในเรื่องนี้ สามารถส่งอีเมลมาได้ที่ security@wongnai.com

ส่วนปัญหาของ LAZADA และ Eatigo ที่ต้องเจอนั้น

Lazada : ชื่อ ที่อยู่ เบอร์โทรศัพท์ ค่าแฮชรหัสผ่าน รวมทั้งหมายเลขบัตรเครดิตบางส่วนจากฐานข้อมูลของ RedMart

Eatigo : อีเมล ค่าแฮชรหัสผ่าน ชื่อ หมายเลขโทรศัพท์ เพศ โทเค็นเฟซบุ๊ก

โดยทั้ง Eatigo และ Wongnai ยืนยันว่าไม่มีข้อมูลบัตรเครดิตของลูกค้าหลุด ทำให้ยังคงมั่นใจได้ในความปลอดภัย แต่ข้อมูลดังกล่าวก็ถูกนำไปขายในตลาดมืด ดังนั้นจึงควรระวังให้มากสำหรับการรั่วไหลครั้งนี้

แก้ไขอย่างไร เมื่อเจอขโมยข้อมูล

แน่นอนว่าเมื่อเกิดปัญหานี้ขึ้น ผู้ใช้งานทั้งหลายก็คงจะกังวลว่าจะแก้ไขอย่างไร ซึ่งในขั้นต้นสิ่งที่ผู้ใช้งานแก้ไขได้นั้น ก็ได้แก่ เปลี่ยนรหัสผ่านทันที ยกเลิกการเข้าถึงจากโซเชียลอื่นๆ (3rd Party) ไม่ว่าจะเป็น Facebook, Twitter, LINE เพื่อลดความเสี่ยงในการเข้าถึง รวมทั้งเลือกการล็อกอินแบบสองขั้นตอน เพื่อปลอดภัยมากขึ้น

หากผู้ใช้งานมองว่าถ้าต้องเปลี่ยนพาสเวิร์ดทุกแอปคงยุ่งยากก็เลือกพาสเวิร์ดที่คุณจะรู้คนเดียวและจำได้ไม่ยากนักเพียงอันเดียวกับทุกโซเชียลก็น่าจะช่วยลดปัญหาขี้เกียจจำไปได้บ้าง