สรุปสั้น
7-Eleven เครือร้านสะดวกซื้อที่ใหญ่ที่สุดในโลกยืนยันว่าถูกแฮ็กข้อมูลโดยกลุ่ม ShinyHunters ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่มีชื่อเสียงในวงการอาชญากรรมไซเบอร์ กลุ่มดังกล่าวอ้างว่าขโมยข้อมูลจากระบบ Salesforce ของบริษัทได้กว่า 600,000 รายการ รวมขนาดไฟล์ 12.8 GB ข้อมูลที่รั่วไหลประกอบด้วยข้อมูลส่วนบุคคลและข้อมูลธุรกิจภายในขององค์กร 7-Eleven ตรวจพบการบุกรุกเมื่อวันที่ 8 เมษายน 2569 โดยข้อมูลที่ถูกขโมยมาจากเอกสารที่ผู้สมัครแฟรนไชส์ส่งให้บริษัท กลุ่ม ShinyHunters เผยแพร่ข้อมูลทั้งหมดบนเว็บมืดเมื่อวันที่ 22 เมษายน 2569 หลังจากการเจรจาเรียกค่าไถ่กับ 7-Eleven ล้มเหลว เหตุการณ์นี้เป็นส่วนหนึ่งของแคมเปญโจมตีระบบ Salesforce ขนาดใหญ่ที่กลุ่ม ShinyHunters ดำเนินการมาตั้งแต่กลางปี 2568
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 18 พฤษภาคม พ.ศ. 2569 ว่า 7-Eleven ยืนยันเหตุการณ์การรั่วไหลของข้อมูลหลังจากกลุ่มแฮ็กเกอร์ ShinyHunters ขู่เรียกค่าไถ่และเผยแพร่ข้อมูลที่ขโมยมาบนเว็บมืด บริษัทระบุว่าตรวจพบการบุกรุกระบบที่ใช้เก็บเอกสารของผู้สมัครแฟรนไชส์เมื่อวันที่ 8 เมษายน 2569 โดยกลุ่ม ShinyHunters ได้ลงประกาศบนเว็บมืดเมื่อวันที่ 17 เมษายน อ้างว่าขโมยข้อมูลจากระบบ Salesforce ของ 7-Eleven ได้มากกว่า 600,000 รายการ
ข้อมูลที่ถูกขโมยรวมถึงข้อมูลส่วนบุคคลที่ผู้สมัครแฟรนไชส์ส่งให้บริษัทในกระบวนการสมัคร รวมทั้งข้อมูลธุรกิจภายในองค์กร โดยกลุ่ม ShinyHunters เผยแพร่ข้อมูลทั้งหมดพร้อมลิงก์ดาวน์โหลดโดยตรงเมื่อวันที่ 22 เมษายน 2569 หลังจากอ้างว่าความพยายามเจรจากับ 7-Eleven ล้มเหลว
เหตุการณ์นี้เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ของ ShinyHunters ที่มุ่งเป้าโจมตีระบบ Salesforce ขององค์กรต่าง ๆ ทั่วโลก โดยกลุ่มอ้างว่ามีเป้าหมายรวมประมาณ 400 องค์กร และได้เผยแพร่ข้อมูลของ 42 องค์กรแล้ว รวมถึง Zara, Udemy, Telus, European Commission และอีกหลายแห่ง
วิธีการโจมตี
กลุ่ม ShinyHunters ใช้วิธีการหลายรูปแบบในการเจาะเข้าระบบ Salesforce ของเหยื่อ ได้แก่ การโจมตีแบบฟิชชิง (phishing) การใช้ประโยชน์จากการเชื่อมต่อกับบริการภายนอก (third-party integrations) และการใช้ช่องโหว่จากการตั้งค่าระบบที่ไม่เหมาะสม (misconfigurations) ไม่ใช่การเจาะช่องโหว่ในตัวผลิตภัณฑ์ Salesforce โดยตรง
ในกรณีของบางเป้าหมาย เช่น Zara กลุ่มนี้อ้างว่าเข้าถึงข้อมูลผ่านแพลตฟอร์มวิเคราะห์ข้อมูล Anodot ซึ่งเชื่อมต่อกับระบบคลาวด์ขององค์กร แสดงให้เห็นว่าการโจมตีผ่าน supply chain และ third-party access เป็นเวกเตอร์หลักของแคมเปญนี้
หลังจากได้ข้อมูลมาแล้ว กลุ่ม ShinyHunters จะติดต่อเหยื่อเพื่อเรียกค่าไถ่ หากไม่ได้รับการตอบสนอง จะเผยแพร่ข้อมูลทั้งหมดบนเว็บมืดพร้อมข้อความกล่าวโทษว่าเหยื่อเพิกเฉยต่อการเจรจา
ผลกระทบต่อไทย
เหตุการณ์นี้มีความเกี่ยวข้องกับประเทศไทยอย่างมาก เนื่องจากประเทศไทยมีสาขา 7-Eleven มากกว่า 14,000 แห่ง ซึ่งมากที่สุดเป็นอันดับ 3 ของโลก รองจากญี่ปุ่นและสหรัฐอเมริกา โดยดำเนินการภายใต้บริษัท ซีพี ออลล์ จำกัด (มหาชน)
แม้ว่าเหตุการณ์การรั่วไหลครั้งนี้จะเกิดขึ้นกับระบบของ 7-Eleven ในสหรัฐอเมริกา แต่เป็นสัญญาณเตือนสำคัญสำหรับ 7-Eleven ในประเทศไทยและทั่วภูมิภาคอาเซียน เนื่องจากกลุ่ม ShinyHunters มีเป้าหมายโจมตีระบบ Salesforce ขององค์กรทั่วโลก และองค์กรค้าปลีกขนาดใหญ่ในไทยที่ใช้ Salesforce หรือระบบ CRM คลาวด์อื่น ๆ ก็อาจเป็นเป้าหมายถัดไปได้
องค์กรในไทยที่ใช้บริการ Salesforce ควรตรวจสอบการตั้งค่าความปลอดภัย การเชื่อมต่อกับบริการภายนอก และมาตรการป้องกันฟิชชิงอย่างเร่งด่วน
คำแนะนำ
- ตรวจสอบการตั้งค่าความปลอดภัยของระบบ Salesforce รวมถึง API access, connected apps และ third-party integrations ให้เข้มงวด
- เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ใช้ Salesforce ทุกคน โดยเฉพาะบัญชีที่มีสิทธิ์ระดับสูง
- ตรวจสอบ audit logs ของ Salesforce เพื่อหากิจกรรมที่ผิดปกติ เช่น การ export ข้อมูลจำนวนมากหรือการเข้าถึงจาก IP ที่ไม่คุ้นเคย
- จัดอบรมพนักงานเรื่องการป้องกันฟิชชิง โดยเฉพาะอีเมลที่อ้างว่ามาจาก Salesforce หรือระบบ CRM
- ทบทวนสิทธิ์การเข้าถึงข้อมูลตามหลัก least privilege เพื่อจำกัดขอบเขตความเสียหายหากถูกเจาะ
