สรุปสั้น
เครือซูเปอร์มาร์เก็ตดิสเคานต์สัญชาติเยอรมัน Lidl ได้แจ้งลูกค้าในเยอรมนี เบลเยียม และเนเธอร์แลนด์ว่าผู้โจมตีได้ขโมยข้อมูลส่วนบุคคลของพวกเขาจากเหตุการณ์เจาะระบบที่ผู้ให้บริการภายนอก (Service Provider) โดย Lidl ซึ่งเป็นของบริษัท Schwarz Group ผู้ค้าปลีกอาหารรายใหญ่ที่สุดในยุโรป มีพนักงานกว่า 376,000 คนและดำเนินการร้านค้า 12,000 สาขาทั่วยุโรปและสหรัฐฯ ได้แจ้งลูกค้าที่ได้รับผลกระทบผ่านอีเมลเมื่อสัปดาห์ที่แล้ว และเผยแพร่ประกาศแยกต่างหากบนเว็บไซต์สนับสนุนของตนในเบลเยียมและเนเธอร์แลนด์
ตามรายละเอียดในประกาศ เหตุการณ์ถูกค้นพบเมื่อสัปดาห์ที่แล้ว โดยผู้โจมตีขโมยข้อมูลจากลูกค้าที่ใช้ร้านค้าออนไลน์ของ Lidl บริษัทระบุว่าแม้จะมีมาตรฐานความปลอดภัยไอทีระดับสูง แต่บุคคลนิรนามก็สามารถเข้าถึงไฟล์ที่จัดเก็บแยกต่างหากซึ่งบรรจุข้อมูลลูกค้าได้ชั่วขณะ และข้อมูลบางส่วนถูกขโมยไป โดยระบบร้านค้าออนไลน์เองไม่ได้รับผลกระทบ ข้อมูลที่ถูกขโมยประกอบด้วยคำนำหน้า ชื่อและนามสกุล หมายเลขโทรศัพท์ ที่อยู่อีเมล วันเกิด และหมายเลขลูกค้าของผู้ใช้ร้านค้าออนไลน์
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่าแม้ผู้โจมตีจะไม่ได้เข้าถึงระบบของร้านค้าออนไลน์ แต่ Lidl ระบุว่ายังไม่สามารถตัดความเป็นไปได้ว่าเหตุการณ์นี้อาจเกี่ยวข้องกับรหัสผ่านของลูกค้าที่ได้รับผลกระทบ ที่อยู่สำหรับเรียกเก็บเงินและจัดส่ง รายละเอียดบัญชีธนาคาร หรือข้อมูลการชำระเงินอื่น ๆ ด้วย Lidl เสริมว่าผู้ให้บริการไอทีที่ถูกเจาะได้แจ้งความต่อตำรวจและว่าจ้างผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ไอที (IT Forensic) เพื่อสอบสวนขอบเขตและผลกระทบทั้งหมดของเหตุการณ์
นอกจากนี้ Lidl ยังได้แจ้งหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์เกี่ยวกับเหตุข้อมูลรั่วไหล และแนะนำให้ลูกค้าที่ได้รับผลกระทบระมัดระวังการโจมตีแบบฟิชชิงที่อาจใช้ข้อมูลที่ถูกขโมยไป บริษัทกล่าวว่าแม้ในขณะนี้จะยังไม่มีหลักฐานที่ชัดเจนว่ามีการนำข้อมูลไปใช้ในทางที่ผิด แต่ก็ขอเตือนไว้ล่วงหน้าเพื่อป้องกันความพยายามฟิชชิงหรือการปลอมแปลงตัวตน โดยขอให้ลูกค้าระวังข้อความที่ไม่คาดคิด ตรวจสอบความน่าเชื่อถือของผู้ส่งเสมอ และหากพบสิ่งผิดปกติ ไม่ควรให้ข้อมูลใด ๆ และไม่คลิกลิงก์ที่ไม่รู้จัก
รายละเอียดเหตุการณ์
เหตุการณ์นี้เป็นอีกตัวอย่างหนึ่งของความเสี่ยงจากบุคคลที่สาม (Third-Party Risk) เพราะจุดที่ถูกเจาะไม่ใช่ระบบร้านค้าออนไลน์หลักของ Lidl แต่เป็นไฟล์ที่จัดเก็บแยกต่างหากซึ่งอยู่ในความดูแลของผู้ให้บริการภายนอก แม้ Lidl จะเน้นย้ำว่าระบบร้านค้าออนไลน์เองไม่ได้ถูกเจาะและไม่พบว่าข้อมูลการชำระเงินหลุด แต่การที่บริษัทยังตัดความเป็นไปได้เรื่องรหัสผ่านและข้อมูลบัญชีธนาคารไม่ได้ในทันที สะท้อนถึงความไม่แน่นอนในช่วงต้นของการสอบสวน ข้อมูลที่ยืนยันว่าหลุดออกไป เช่น ชื่อ อีเมล เบอร์โทร วันเกิด และหมายเลขลูกค้า แม้จะไม่ใช่ข้อมูลการเงินโดยตรง แต่ก็เพียงพอที่ผู้โจมตีจะนำไปใช้สร้างอีเมลหรือข้อความฟิชชิงที่ดูน่าเชื่อถือ เพื่อหลอกเอาข้อมูลที่ละเอียดอ่อนกว่าในภายหลัง
ผลกระทบต่อไทย
แม้เหตุการณ์นี้จะกระทบลูกค้าในยุโรป แต่เป็นบทเรียนสำคัญสำหรับธุรกิจค้าปลีกและอีคอมเมิร์ซของไทยที่มักมอบข้อมูลลูกค้าให้ผู้ให้บริการภายนอกดูแล ทั้งระบบ CRM ระบบการตลาด ระบบจัดส่ง หรือคลาวด์ต่าง ๆ การที่ Lidl ซึ่งมีมาตรฐานความปลอดภัยสูงยังถูกเจาะผ่านผู้ให้บริการภายนอก แสดงให้เห็นว่าห่วงโซ่อุปทาน (Supply Chain) ด้านข้อมูลเป็นจุดอ่อนที่องค์กรมักควบคุมได้ยากกว่าระบบภายในของตนเอง ผู้บริโภคไทยที่ซื้อของออนไลน์จำนวนมากก็เสี่ยงเผชิญฟิชชิงที่แอบอ้างแบรนด์ค้าปลีก โดยใช้ข้อมูลจริงอย่างชื่อและหมายเลขคำสั่งซื้อเพื่อเพิ่มความน่าเชื่อถือ
คำแนะนำ
องค์กรค้าปลีกและอีคอมเมิร์ซควรประเมินและกำกับดูแลความปลอดภัยของผู้ให้บริการภายนอกที่เข้าถึงข้อมูลลูกค้าอย่างเข้มงวด จำกัดปริมาณข้อมูลที่แบ่งปันให้น้อยที่สุดเท่าที่จำเป็น เข้ารหัสข้อมูลอ่อนไหว และกำหนดให้ผู้ให้บริการมีมาตรการตรวจจับและแจ้งเหตุที่รวดเร็ว สำหรับผู้บริโภค ควรระวังอีเมลหรือข้อความที่อ้างว่ามาจากร้านค้าที่ตนเคยใช้บริการ โดยเฉพาะที่เร่งรัดให้คลิกลิงก์หรือกรอกข้อมูล ควรตรวจสอบที่อยู่ผู้ส่งอย่างละเอียด ไม่คลิกลิงก์ที่ไม่แน่ใจ และเข้าเว็บไซต์ของร้านค้าโดยพิมพ์ URL เองแทนการคลิกจากอีเมล หากได้รับแจ้งว่าข้อมูลรั่วไหล ควรเปลี่ยนรหัสผ่านและเฝ้าระวังธุรกรรมที่ผิดปกติ
