เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ตรวจสอบพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต ทีมงาน Wongnai ตรวจพบช่องทางที่ถูกใช้เข้าระบบ แต่ไม่พบการกระทำอย่างอื่นนอกจากการดึงข้อมูลบางส่วนจากในระบบ ซึ่งเราได้จัดการแก้ไขช่องทางดังกล่าวเสร็จเรียบร้อยแล้ว

ข้อมูลที่ถูกเข้าถึงคือ

• อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
• ไม่มี ข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

หากท่านเข้าสู่ Wongnai ด้วยการใช้อีเมลหรือเบอร์โทรศัพท์

เราทำบทความนี้ให้ผู้ใช้ของเราทราบถึงเหตุการณ์ เพื่อให้เปลี่ยนรหัสผ่านโดยเร็วที่สุด แม้รหัสผ่านในฐานข้อมูลของเราถูกเข้ารหัสไว้อีกชั้น แต่เราก็แนะนำว่าควรเปลี่ยนรหัสผ่านโดยทันที และเราจะเริ่มบังคับรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมดที่ยังไม่เปลี่ยนรหัสผ่านในวันที่ 15 พฤศจิกายน 2563 หากท่านใช้รหัสผ่านเดียวกันบนเว็บไซต์อื่น ก็ควรเปลี่ยนรหัสผ่านบนเว็บไซต์อื่นด้วยเช่นเดียวกัน

หากท่านเข้าสู่ Wongnai ด้วยการใช้ 3rd Party Login (LINE, Facebook, Google, Apple)

ไม่มีความเสี่ยงเรื่องรหัสผ่าน เนื่องจากท่านไม่เคยสร้างรหัสผ่านกับทาง Wongnai แต่อย่างไรก็ตามเราต้องขออภัยเป็นอย่างสูงกับเหตุการณ์ที่เกิดขึ้น ส่วนบัญชีและรหัสผ่านของระบบ LINE/Facebook/Google/Apple ไม่มีความเสี่ยงใดๆ

ทางทีม Wongnai ขออภัยอย่างที่สุดกับปัญหาที่เกิดขึ้น ทีมวิศวกรของเราตระหนักถึงปัญหาและกำลังเร่งปรับปรุงระบบให้ปลอดภัยยิ่งขึ้น เพื่อให้มั่นใจว่าข้อมูลของท่านได้รับความคุ้มครองอย่างเหมาะสม 

Wongnai ขอยืนยันในการมุ่งพัฒนาแพลตฟอร์มเพื่อมอบประสบการณ์ที่ดีแก่ผู้ใช้งานต่อไป 

คุณสามารถตรวจสอบสถานะล่าสุดของเหตุการณ์นี้ได้จาก wongnai.com/pages/wongnai-security-incident  

คำถามที่พบบ่อย (FAQ)

Q: เกิดอะไรขึ้น?

เมื่อวันที่ 30 ตุลาคม 2563 เราได้รับทราบว่า Wongnai.com เป็นหนึ่งในเว็บไซต์หลายสิบเว็บไซต์ทั่วโลกที่ถูกขโมยข้อมูลส่วนตัวของผู้ใช้เมื่อช่วงเดือนตุลาคมที่ผ่านมา หลังจากเราทราบเรื่อง ก็ค้นพบช่องโหว่ในระบบและแก้ไขเรียบร้อยแล้ว

Q: ข้อมูลที่ถูกเข้าถึงมีอะไรบ้าง

• อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
• ไม่มี ข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินถูกเข้าถึง

Q: ผู้ใช้ Wongnai ต้องทำอะไรต่อไป

รหัสผ่านของคุณถูกเข้ารหัสแบบย้อนกลับไม่ได้อีกชั้น แต่เพื่อความปลอดภัย เราแนะนำให้คุณตั้งรหัสผ่านของ Wongnai ใหม่ รวมถึงหากคุณใช้รหัสผ่านเดียวกันกับเว็บไซต์อื่น เราแนะนำว่าให้คุณเปลี่ยนรหัสผ่านของเว็บไซต์ดังกล่าวด้วย

Q: มีข้อมูลบัตรเครดิตถูกขโมยหรือไม่

เราไม่เคยเก็บหมายเลขบัตรเครดิตหรือข้อมูลทางการเงินอื่นๆ ในระบบของเรา ดังนั้นข้อมูลบัตรเครดิตของคุณปลอดภัย

Q: ถ้าหากฉันล็อกอินด้วยบัญชี Facebook/LINE/Google/Apple บัญชีเหล่านี้จะถูกเข้าถึงข้อมูลด้วยหรือไม่

ไม่ บัญชี Facebook/LINE/Google/Apple ของคุณไม่มีความเสี่ยงที่ถูกเข้าถึงข้อมูล เพราะ Wongnai ไม่มีสิทธิเข้าถึงชื่อบัญชี/รหัสผ่านของบัญชีเหล่านี้อยู่แล้ว ข้อมูลที่รั่วออกไปมีเพียงแค่ ID ของ Facebook/Twitter ซึ่งไม่สามารถใช้ล็อกอินได้

Q: Wongnai มีมาตรการอย่างไรบ้าง

เราตระหนักดีถึงความสำคัญถึงเรื่องนี้ และทีมวิศวกรของเรากำลังพัฒนาระบบความปลอดภัยให้ดีขึ้น รวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยจะเข้ามาตรวจสอบระบบอย่างละเอียด เพื่อการันตีว่าเหตุการณ์ลักษณะนี้จะไม่เกิดขึ้นอีก

Q: ฉันได้รับอีเมลจากเว็บ Have I Been Pwned ทาง Wongnai เอาข้อมูลไปขายหรือ

 เราส่งข้อมูลให้ทาง Have I Been Pwned (HIBP) เพื่อให้ช่วยแจ้งเตือนผู้ใช้ให้ตรวจสอบและรีเซ็ตรหัสผ่าน HIBP เป็นเว็บกลางที่ช่วยแจ้งเตือนหน่วยงานที่เกี่ยวข้องให้ระมัดระวังว่ามีข้อมูลเกี่ยวกับอีเมลหลุดออกมา ช่วยลดความเสี่ยงให้ผู้ใช้โดยรวม เราไม่ได้รับผลประโยชน์ใดๆ จากการส่งข้อมูลนี้

Q: หากมีคำถามหรือข้อสงสัยในเรื่องนี้และต้องการติดต่อ Wongnai เพื่อข้อมูลเพิ่มเติม

ต้องการติดต่อ Wongnai ในเรื่องนี้ สามารถส่งอีเมลมาได้ที่ security@wongnai.com

---

We recently discovered on Friday 30 October 2020, that some user data was compromised as a result of unauthorized access to our systems by a third party. We identified the vulnerability and already fixed it. We do not find any other operation besides accessing users information.

The following information of yours may have been compromised:

• E-mail, encrypted password, Name, Facebook & Twitter ID, Birthday, Phone Number and Zip Code
• No credit card information or financial information involved.

If you log in Wongnai with e-mail or phone number

We’re notifying our users to change Wongnai password as soon as possible. While the passwords were encrypted, it is better to be precautionary. We will force reset passwords for all users who have not changed a new password yet on 15 November 2020. Also, if you use the same password across multiple websites. We recommend changing your passwords in all other websites as well.

If you log in Wongnai with 3rd party login (LINE, Facebook, Google, Apple)

You do not have password risk as you have never created a password with Wongnai. Login credentials and the security of your LINE/Facebook/Google/Apple accounts are also not in risk. However, we remain sorry for this inconvenience and for the occurrence of this incident. 

We are truly sorry for any concern or inconvenience this may cause. We commit to ensure the security of your data and work very hard to achieve it. Our engineering teams are using their best efforts to prevent such incidents in the future. You can find a full update of this incident at wongnai.com/pages/wongnai-security-incident  

FAQ

Q: What happened?

On 30 October 2020, we discovered that Wongnai.com is one of many websites around the world that got users’ personal information stolen. Since we found out about this incident, we have identified the vulnerability and fixed it immediately. 

Q: What information was accessed?

• E-mail, encrypted password, Name, Facebook & Twitter ID, Birthday, Phone Number and Zip Code
• No credit card information or financial information involved.

Q: What do I need to do next?

Though your Wongnai password is encrypted, as precautionary measures, you are encouraged to change your Wongnai password. If you use the same password in other websites, we suggest that you also change the password on those other websites.

Q: Is my credit card safe?

We do not store your credit card number or any other financial information in our database.

Q: If I login via Facebook/LINE/Google/Apple account, will my Facebook/LINE/Google/Apple accounts be compromised as well?

No. Your Facebook/LINE/Google/Apple accounts are not in risk of compromise, as Wongnai does not have access to the username/passwords of your Facebook/LINE/Google/Apple accounts. The only information leaked was your Facebook/Twitter ID, which does not allow access to your account.

Q: What is your response measure?

We take this seriously. Our engineers are doing their best efforts to continuously improve our security systems. Moreover, a security consultant will perform a security assessment to ensure this kind of incident will be better prevented in the future.

Q: I received an email from Have I Been Pwned, did Wongnai sell my information to them?

We voluntary submitted affected users' information to Have I Been Pwned (HIBP). HIBP is a website that list breached websites, allowing people to stay secure. We did not receive any compensation from submitting this information.

Q: How can I contact Wongnai if I have further questions/concerns?

If you have any further questions about the incident, you may reach out to us at security@wongnai.com