Payment Gateway ข้อมูลรั่วไหล กระทบผู้ถือบัตรเครดิต นับล้าน
บริการ Payment Gateway เทคโนโลยีที่รวบรวมและถ่ายโอนข้อมูลการชำระเงินจากลูกค้าไปยังผู้ขาย คือช่องทางการชำระเงินทางออนไลน์ โดยมีผู้ให้บริการที่ทำหน้าที่เป็นตัวกลางระหว่างลูกค้าและ ธนาคารหรือสถาบันการเงิน ทั้งในฝั่งของลูกค้าและร้านค้า ไปยังร้านค้าออนไลน์
ซึ่งในประเทศไทยมีผู้ให้บริการ Payment Gateway จำนวนมาก ทั้งในรูปแบบของธนาคาร และ Non-Bank เช่น True Money Wallet, Merchant iPay ของธนาคารกรุงเทพ, K-Payment ของ ธนาคารกสิกรไทย, 2C2P, GB PAY และอื่นๆ บริการเหล่านี้ได้รับความนิยมมากขึ้นเมื่อธุรกรรมส่วนใหญ่เป็นออนไลน์
แต่ล่าสุดมีการเผยกรณีศึกษาที่เป็นตัวบ่งชี้ว่า บริการเหล่านี้เสี่ยงข้อมูลรั่วไหล และอาจกระทบต่อผู้ถือบัตรเครดิตกว่าล้านคน
Payment Gateway เสี่ยงข้อมูลรั่วไหล
Slim CD ผู้ให้บริการ Payment Gateway ในสหรัฐอเมริกา ที่ให้บริการอุตสาหกรรมต่างๆ รวมถึงค้าปลีก ธุรกิจบริการ และร้านอาหาร ได้เปิดเผยถึงการละเมิดข้อมูลที่ทำให้ข้อมูลบัตรเครดิตและข้อมูลส่วนบุคคลของผู้ใช้งานเกือบ 1.7 ล้านคนได้รับความเสียหาย
กรณีนี้เกิดจากการที่บริษัทตรวจพบ แฮ็กเกอร์ที่สามารถเข้าถึงเครือข่ายของบริษัทได้เกือบหนึ่งปี ระหว่างเดือนสิงหาคม 2023 ถึงมิถุนายน 2024 จึงทำการแจ้งเตือนไปยังลูกค้าทุกคนของบริษัททันที โดยเฉพาะผู้ใช้บัตรเครดิต
โดยข้อมูลที่แฮ็กเกอร์เข้าถึง ประกอบด้วย
- ชื่อ-นามสกุล
- ที่อยู่ทางกายภาพ
- หมายเลขบัตรเครดิต
- วันหมดอายุของบัตรชำระเงิน
แม้ว่าข้อมูลที่ได้ไปอาจไม่มากพอที่จะทำให้แฮ็กเกอร์สามารถก่ออาชญากรรมได้ เนื่องจากขาดเลข CVV (Card security code) ด้านหลังบัตรเครดิต แต่ก็ยังถือว่ามีความเสี่ยง เพราะข้อมูลส่วนบุคคลรั่วไหลออกไปแล้ว
Slim CD ระบุว่า บริษัทได้ดำเนินมาตรการเพื่อเสริมความปลอดภัยและป้องกันเหตุการณ์ ในลักษณะเดียวกันนี้ในอนาคต พร้อมกันนี้บริษัทได้แนะนำให้ผู้ได้รับการแจ้งเตือนเฝ้าระวังการพยายามขโมยข้อมูลส่วนบุคคล รวมถึงรายงานกิจกรรมที่น่าสงสัยให้แก่ผู้ออกบัตรโดยเร็วที่สุด
ขณะเดียวกันบริษัทก็ไม่ได้เสนอระบบป้องกันการโจรกรรมข้อมูลส่วนบุคคลแบบฟรีให้กับเจ้าของข้อมูลที่ได้รับผลกระทบ
กรณีข้อมูลบัตรเครดิตรั่วไหล กับกฎหมาย PDPA ไทย
หากเปรียบเทียบตามกฎหมาย PDPA ของไทย กรณีข้อมูลรั่วไหลอาจเข้าข่ายมีความผิดตามมาตรา 37
ขณะที่มาตรา 37 คือ การไม่จัดให้มีมาตรการการรักษาความปลอดภัยที่เหมาะสม เนื่องจากกฎหมาย PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องดำเนินการจัดให้มีมาตรการความปลอดภัยที่เหมาะสม หากพบว่ามีการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เช่น ในกรณีนี้ที่ข้อมูลบัตรเครดิตและข้อมูลส่วนบุคคลถูกเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต จนข้อมูลบัตรเครดิตหลุดไปถึงมือแฮ็กเกอร์ นอกจากนี้บริษัทไม่มีการเสนอระบบป้องกันการโจรกรรมข้อมูลส่วนบุคคลแบบฟรีให้กับเจ้าของข้อมูลที่ได้รับผลกระทบ
อีกข้อหนึ่ง บริษัทปล่อยให้แฮ็กเกอร์เข้าถึงเครือข่ายของบริษัทยาวนานถึง 1 ปี เข้าข่ายผิด มาตรา 37(4) เนื่องจากไม่มีการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้กับสำนักงานคุ้มครองข้อมูลส่วนบุคคลรับทราบล่าช้า จนข้อมูลส่วนบุคคลรั่วไหลออกไป
แนวทางการป้องกัน
ทั้งนี้ในฐานะผู้ใช้บริการ หรือเจ้าของข้อมูลส่วนบุคคล เรามีวิธีลดความเสี่ยงและป้องกันการถูกละเมิดข้อมูลส่วนบุคคล ดังนี้
- ตรวจสอบใบแจ้งยอดบัตรเครดิตและตรวจสอบธุรกรรมที่ผ่านมาล่าสุดทั้งหมด เพื่อดูว่ามีการเรียกเก็บเงินที่ไม่ได้รับอนุญาตหรือไม่ หรือมีรายงานกิจกรรมใดที่น่าสงสัย โดยให้รีบแจ้งธนาคารหรือผู้ให้บริการบัตรเครดิตของคุณทันที
- ขอบัตรเครดิตใบใหม่ หากข้อมูลบัตรของคุณถูกละเมิด ซึ่งธนาคารและบริษัทการเงินส่วนใหญ่จะเสนอบริการนี้ฟรีในกรณีที่เกิดการละเมิดข้อมูล
- เปิดใช้งานการแจ้งเตือนบัตรเครดิตเพื่อช่วยตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตได้อย่างรวดเร็ว
- ตรวจสอบรายงานการใช้บัตรเครดิตของคุณจากบริการที่สมัครเสมอ
- พิจารณาการแจ้งเตือนการอายัดเครดิต หรือ การฉ้อโกง เพื่อป้องกันไม่ให้เข้าถึงรายงานเครดิตของคุณ ทำให้ผู้ขโมยข้อมูลส่วนตัวเปิดบัญชีในชื่อของคุณได้ยากขึ้น
- อัปเดตรหัสผ่านของคุณ เปิดใช้งาน 2FA และ MFA
- ระวังกลลวงฟิชชิ่ง เพราะผู้ก่ออาชญากรรมทางไซเบอร์อาจพยายามใช้ประโยชน์จากสถานการณ์ต่างๆ โดยส่งอีเมลฟิชชิ่งหรือโทรศัพท์หลอกลวงไปยังเหยื่อ
หากองค์กรของคุณขาดโซลูชันบริหารจัดการข้อมูลส่วนบุคคล เราขอแนะนำ Privacy Management บน แพลตฟอร์ม OneFence โดยสามารถติดต่อนัดนำเสนอ และทดลอง Demo ได้แล้ว : OneFence-Privacy Management
ที่มา : Bleeping Computer, Bitdefender
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]
บทความที่น่าสนใจ
