สรุปสั้น

กลุ่มอาชญากรไซเบอร์ ShinyHunters ซึ่งเป็นกลุ่ม extortion ที่มีชื่อเสียงโด่งดัง อ้างว่าเจาะระบบของ Council of Europe ซึ่งเป็นองค์กรระหว่างรัฐบาลด้านสิทธิมนุษยชนที่เก่าแก่ที่สุดของยุโรป มีสมาชิก 46 ประเทศและเป็นตัวแทนของประชากรกว่า 700 ล้านคน กลุ่มนี้โพสต์บนเว็บไซต์ dark web ว่าขโมยเอกสารกว่า 429,000 ฉบับ ประกอบด้วยใบเงินเดือน (payslip) มากกว่า 409,000 ฉบับของพนักงานกว่า 10,000 คน ตั้งแต่ปี 2011 ถึง 2026 ไฟล์บุคลากรภายในกว่า 3,700 ฉบับ CV กว่า 14,000 ฉบับ และเอกสารอื่นที่มีข้อมูลส่วนตัวและการเงินจำนวนมาก

Council of Europe ยืนยันกับ BleepingComputer ว่ากำลังสอบสวนเหตุการณ์และประเมินสถานการณ์อยู่ ขณะที่ ShinyHunters ขู่จะปล่อยข้อมูลทั้งหมดภายในวันที่ 16 มิถุนายน 2026 หากไม่ได้รับการติดต่อกลับ

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 15 มิถุนายน พ.ศ. 2569 ว่ากลุ่ม ShinyHunters โพสต์บนเว็บไซต์ dark web leak site เมื่อช่วงสุดสัปดาห์ที่ผ่านมา อ้างว่าขโมยเอกสาร HR และข้อมูลเงินเดือนจากหลายแผนกของ Council of Europe ข้อมูลที่อ้างว่าถูกขโมยรวมถึงใบเงินเดือนกว่า 409,000 ฉบับของพนักงานกว่า 10,000 คนครอบคลุมระยะเวลาตั้งแต่ปี 2011 ถึง 2026 ไฟล์บุคลากรภายในกว่า 3,700 ฉบับ และ CV กว่า 14,000 ฉบับ

เอกสารเหล่านี้มีข้อมูลส่วนตัวและการเงินที่ครอบคลุมตั้งแต่ชื่อ วันเกิด ที่อยู่ หมายเลขโทรศัพท์ รหัสพนักงาน เงินเดือน รายละเอียดบัญชีธนาคาร ข้อมูลภาษีและประกันสังคม ไปจนถึงเวชระเบียน กลุ่ม ShinyHunters ประกาศว่า “นี่เป็นคำเตือนสุดท้ายให้ติดต่อกลับภายในวันที่ 16 มิถุนายน 2026 ก่อนที่เราจะปล่อยข้อมูลพร้อมกับปัญหา (ดิจิทัล) ที่น่ารำคาญหลายอย่าง”

ฝ่ายสื่อสารของ Council of Europe ตอบ BleepingComputer ว่า “เรากำลังสอบสวนเรื่องนี้และประเมินสถานการณ์อยู่ ยังไม่มีความเห็นเพิ่มเติมในขั้นตอนนี้” ในช่วงปีที่ผ่านมา ShinyHunters ยังเชื่อมโยงกับการโจมตีลูกค้า Salesforce โดยอ้างว่าขโมยข้อมูลกว่า 1.5 พันล้านรายการ การโจมตีลูกค้า Snowflake และผู้ให้บริการ third-party integration อื่น รวมถึงเมื่อสัปดาห์ที่แล้วอ้างว่าเจาะองค์กรกว่า 100 แห่งรวมถึงมหาวิทยาลัย Nottingham ผ่านช่องโหว่ zero-day ใน Oracle PeopleSoft

ShinyHunters claims data breach of Council of Europe with payroll and HR documents

วิธีการโจมตี

ยังไม่มีรายละเอียดเกี่ยวกับช่องทางการเจาะระบบที่แน่ชัด อย่างไรก็ตาม เมื่อพิจารณาจากรูปแบบการโจมตีของ ShinyHunters ในช่วงที่ผ่านมา กลุ่มนี้มักมุ่งเป้าไปที่ผู้ให้บริการ third-party และ integration platform มากกว่าโจมตีเป้าหมายโดยตรง ตัวอย่างเช่น แคมเปญ Salesforce Aura, Salesloft Drift, การโจมตีลูกค้า Snowflake และล่าสุดคือช่องโหว่ zero-day ใน Oracle PeopleSoft (CVE-2026-35273) ที่เคยรายงานใน Cloud Thunder เมื่อสัปดาห์ก่อน

ข้อมูลที่ถูกขโมยครอบคลุมหลายแผนกและมีระยะเวลายาวนานถึง 15 ปี (2011-2026) ซึ่งอาจบ่งชี้ว่าผู้โจมตีเข้าถึงระบบจัดเก็บข้อมูลส่วนกลางที่รวบรวมเอกสารจากหลายแหล่ง เช่น ระบบ HR หรือ payroll ที่ให้บริการแบบรวมศูนย์

ผลกระทบต่อไทย

แม้ไทยไม่ได้เป็นสมาชิก Council of Europe แต่เหตุการณ์นี้เป็นกรณีศึกษาที่สำคัญสำหรับองค์กรระหว่างประเทศและหน่วยงานรัฐของไทยที่มีระบบ HR และ payroll ขนาดใหญ่ การที่ข้อมูลเงินเดือนและเอกสาร HR ย้อนหลัง 15 ปีถูกขโมยในครั้งเดียวแสดงให้เห็นความเสี่ยงจากการเก็บข้อมูลเก่าไว้ในระบบเดียวกันโดยไม่มี data retention policy ที่เหมาะสม หน่วยงานไทยที่จัดเก็บข้อมูล payslip และเอกสาร HR จำนวนมากควรทบทวนนโยบายการจัดเก็บข้อมูลและ access control

คำแนะนำ

  • ทบทวน data retention policy สำหรับเอกสาร HR และ payroll — ลบข้อมูลที่เกินระยะเวลาจัดเก็บตามกฎหมาย
  • แยกระบบจัดเก็บเอกสาร HR จากระบบอื่นและจำกัด access ตามหลัก least privilege
  • ตรวจสอบ third-party integration ที่เชื่อมต่อกับระบบ HR/payroll และประเมินความเสี่ยง
  • เฝ้าระวังการปล่อยข้อมูลจากเหตุการณ์นี้ เพราะข้อมูลที่รั่วอาจถูกนำไปใช้ในแคมเปญฟิชชิงที่อ้างอิงชื่อ Council of Europe
  • พนักงานขององค์กรที่ทำงานร่วมกับ Council of Europe ควรระวังอีเมลฟิชชิงที่อาจใช้ข้อมูลจริงจากเหตุการณ์นี้

แหล่งอ้างอิง