DoorDash เปิดเผยถึงการละเมิดข้อมูลที่ส่งผลกระทบต่อแพลตฟอร์ม food delivery ในเดือนตุลาคมที่ผ่านมา
ตั้งแต่ช่วงเย็นของวันที่ 13 พฤศจิกายนที่ผ่านมา DoorDash ที่ให้บริการลูกค้าหลายล้านคนในสหรัฐอเมริกา, แคนาดา, ออสเตรเลีย และนิวซีแลนด์ ได้เริ่มส่งอีเมลแจ้งเตือนผู้ที่ได้รับผลกระทบจากเหตุการณ์ด้านความปลอดภัยที่เพิ่งค้นพบใหม่นี้
ข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
อีเมลแจ้งเตือนจาก DoorDash ระบุว่า "ในวันที่ 25 ตุลาคม 2025 ทีมงานของบริษัทตรวจพบเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งเกี่ยวข้องกับผู้ไม่หวังดีที่สามารถเข้าถึงและนำข้อมูลติดต่อบางอย่างของผู้ใช้ออกไป ซึ่งข้อมูลที่รั่วไหลนั้นจะแตกต่างกันออกไปในแต่ละบุคคล"
ข้อมูลดังกล่าวอาจรวมถึง :
- ชื่อ และนามสกุล
- ที่อยู่
- หมายเลขโทรศัพท์
"การตรวจสอบของบริษัทได้ยืนยันแล้วว่า ข้อมูลส่วนบุคคลของผู้ใช้งานได้รับผลกระทบ"
เหตุการณ์ดังกล่าวสืบย้อนกลับไปได้ว่าเกิดจากพนักงาน DoorDash คนหนึ่งที่ตกเป็นเหยื่อของการหลอกลวงแบบ social engineering ทันทีที่ทราบเรื่อง ทีม incident response ของบริษัทได้ทำการปิดกั้นการเข้าถึงของผู้ไม่หวังดี เริ่มทำการสอบสวน และได้ส่งเรื่องต่อไปยังหน่วยงานบังคับใช้กฎหมาย
การเปิดเผยข้อมูลครั้งนี้ไม่ได้ระบุว่ามีผู้ใช้จำนวนเท่าใดที่ได้รับผลกระทบ แม้ว่าบริษัทจะบอกว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อผู้ใช้หลายกลุ่ม ทั้งผู้บริโภค (ลูกค้า), Dashers (คนส่งอาหาร) และร้านค้า
เหตุการณ์นี้นับเป็นเหตุการณ์ด้านความปลอดภัยครั้งที่ 3 ที่ DoorDash บริษัทด้านการจัดส่งรายนี้ต้องเผชิญ
ในปี 2019 เกิดเหตุการณ์ข้อมูลรั่วไหลที่ DoorDash ได้เปิดเผยว่ามีข้อมูลของลูกค้า, Dashers (คนส่งอาหาร) และร้านค้าราว 5 ล้านราย ที่ถูกเปิดเผยจากผู้ไม่หวังดี
ในเดือนสิงหาคม 2022 บริษัทฯ ต้องเผชิญกับการละเมิดข้อมูลอีกครั้งจากผู้ไม่หวังดี ซึ่งเป็นกลุ่มเดียวกันกับที่โจมตี Twilio ในปีนั้น
มีคำแปลภาษาฝรั่งเศสต่อท้าย
สิ่งที่น่าสนใจคือ มีคำแปลประกาศฉบับภาษาฝรั่งเศสแนบท้ายมากับอีเมลเหล่านี้ด้วย :
ในขณะนี้ ดูเหมือนว่าอีเมลเหล่านี้ถูกส่งไปยังผู้ใช้งาน DoorDash ในแคนาดาเป็นหลัก อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ไม่ได้ลงวันที่ซึ่งโพสต์ไว้บนเว็บไซต์ของ DoorDash แสดงให้เห็นว่าเหตุการณ์ดังกล่าวอาจขยายวงกว้างไปไกลกว่าในแคนาดา และในประกาศนั้นมีการอ้างอิงถึงประเภทข้อมูลที่เฉพาะเจาะจงของสหรัฐฯ เช่น หมายเลข SSNs ซึ่ง DoorDash ระบุว่า ข้อมูลส่วนนี้ไม่ถูกเข้าถึง (ในขณะที่ของแคนาดาจะเรียกว่า หมายเลข SINs)
'ใช้เวลาถึง 19 วัน'
ผู้ใช้บางส่วนบนโซเชียลมีเดียได้ออกมาตำหนิ DoorDash โดยตั้งคำถามถึงการจัดการเหตุการณ์ของบริษัท และระยะเวลาในการแจ้งเตือน
Chris จาก Toronto ได้โพสต์ว่า "ผมขอโทษนะ - ถ้าข้อมูลพวกนี้ไม่ใช่ข้อมูลที่สำคัญ แล้วอะไรคือข้อมูลที่สำคัญ? อย่าลดทอนความสำคัญของเรื่องนี้เพียงเพราะพวกเขาไม่ได้ข้อมูลบัตรเครดิตหรือรหัสผ่านไป ซึ่งมันฟังไม่ขึ้นเลย"
Kostas T. ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ก็ได้ออกมาแสดงความคิดเห็นต่อถ้อยคำในอีเมลที่มีการส่งแจ้งเตือน โดยระบุว่า คำแถลงที่ว่า "ไม่มีข้อมูลที่สำคัญถูกเข้าถึง" นั้นขัดแย้งกับข้อมูลส่วนบุคคลที่บริษัทออกมายอมรับเองว่าถูกเข้าถึง
ผู้ใช้ X ที่ชื่อ Ohqay ระบุว่า "DoorDash ใช้เวลาถึง 19 วัน กว่าจะแจ้งเตือนเรื่องข้อมูลรั่วไหลที่ทำให้ข้อมูลส่วนตัวหลุดออกไป โชคดีที่ใช้ชื่อปลอม และอีเมลแอดเดรสสำหรับส่งต่อในบัญชี แต่เบอร์โทรศัพท์จริง และที่อยู่จริงของก็รั่วไหลอยู่ดี"
"นี่เป็นการกระทำที่ไม่เป็นมืออาชีพอย่างยิ่ง, อันตราย และอาจจะผิดกฎหมายของ DoorDash... กระบวนการนี้ละเมิดกฎหมายว่าด้วยการละเมิดข้อมูลของแคนาดา จะยื่นฟ้อง DoorDash ต่อศาลประจำจังหวัด และจะยื่นเรื่องร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของแคนาดา"
ผู้ใช้ควรระมัดระวังการติดต่อสื่อสารที่ตนเองไม่ได้ร้องขอ หรืออีเมล phishing ที่มุ่งเป้าโจมตีซึ่งดูเหมือนว่าส่งมาจาก DoorDash
DoorDash เตือนว่า ผู้ใช้ควรหลีกเลี่ยงการคลิก links หรือไฟล์แนบภายในอีเมลที่น่าสงสัย และงดเว้นจากการให้ข้อมูลส่วนบุคคลใด ๆ แก่เว็บไซต์ที่ไม่คุ้นเคย
DoorDash ระบุว่า "บริษัทได้ดำเนินการเพื่อตอบสนองต่อเหตุการณ์ดังกล่าวแล้ว ซึ่งรวมถึงการปรับปรุงยกระดับระบบความปลอดภัยของบริษัท, การจัดการฝึกอบรมเพิ่มเติมสำหรับพนักงาน, การว่าจ้างบริษัทผู้เชี่ยวชาญด้านการพิสูจน์หลักฐานทางไซเบอร์ชั้นนำเข้ามาช่วยในการสืบสวนปัญหานี้ และการแจ้งให้หน่วยงานบังคับใช้กฎหมายทราบเพื่อดำเนินการสืบสวนต่อไป"
ผู้ใช้ DoorDash ที่มีคำถามเกี่ยวกับเหตุการณ์ดังกล่าว สามารถติดต่อได้ที่หมายเลขเบอร์โทรศัพท์ +1-833-918-8030 และแจ้งรหัสอ้างอิง : B155060
ที่มา : bleepingcomputer
You must be logged in to post a comment.