7-Eleven อเมริกาโดนแฮก ข้อมูลลูกค้าหลุด แฮกเกอร์ปล่อยข้อมูล 9.4GB ลงดาร์กเว็บ

หลังจากที่เราได้เสนอข่าวไปตั้งแต่วันที่ 19 พฤษภาคมที่ผ่านมา ล่าสุดกรณีการโจมตีทางไซเบอร์ต่อเครือร้านสะดวกซื้อยักษ์ใหญ่อย่าง 7‑Eleven เริ่มมีรายละเอียดชัดเจนมากขึ้น เมื่อมีการยืนยันว่าข้อมูลส่วนบุคคลกว่า 185,000 ราย ถูกเปิดเผยจากเหตุการณ์ข้อมูลรั่วไหลดังกล่าว

ข้อมูลนี้ถูกเปิดเผยผ่านบริการแจ้งเตือนข้อมูลรั่วไหล Have I Been Pwned หลังจากตรวจสอบไฟล์ข้อมูลที่ถูกปล่อยออกมาบนดาร์กเว็บโดยกลุ่มแฮกเกอร์ชื่อดังอย่าง ShinyHunters

7-Eleven ระบุในจดหมายแจ้งเตือนลูกค้าที่ได้รับผลกระทบ ซึ่งถูกส่งออกเมื่อวันที่ 1 พฤษภาคม ว่า ผู้ไม่หวังดีได้เข้าถึงบางระบบของบริษัทตั้งแต่ช่วงต้นเดือนเมษายนที่ผ่านมา โดยบริษัทตรวจพบเหตุการณ์ในวันที่ 8 เมษายน 2026

ทางบริษัทระบุว่า ระบบที่ถูกเจาะเป็นระบบที่ใช้จัดเก็บเอกสารเกี่ยวกับแฟรนไชส์ของ 7-Eleven แต่ไม่ได้เปิดเผยจำนวนผู้ได้รับผลกระทบอย่างเป็นทางการ รวมถึงยังไม่ได้ระบุว่าเป็นฝีมือของกลุ่มใด

อย่างไรก็ตาม กลุ่ม ShinyHunters ได้ออกมาอ้างความรับผิดชอบต่อการโจมตีครั้งนี้ตั้งแต่วันที่ 17 เมษายน โดยระบุว่าสามารถเข้าถึงระบบ Salesforce ของ 7-Eleven และขโมยข้อมูลได้มากกว่า 600,000 รายการ ทั้งข้อมูลภายในองค์กรและข้อมูลส่วนบุคคลของผู้ใช้งาน

หลังบริษัทปฏิเสธที่จะจ่ายค่าไถ่ กลุ่มแฮกเกอร์จึงปล่อยไฟล์ข้อมูลขนาด 9.4GB ลงบนเว็บไซต์ดาร์กเว็บของตนเอง

จากการวิเคราะห์ข้อมูลที่ถูกปล่อยออกมา พบว่ามีผู้ได้รับผลกระทบประมาณ 185,300 คน โดยข้อมูลที่รั่วไหลประกอบด้วย ชื่อ-นามสกุล วันเดือนปีเกิด อีเมล หมายเลขโทรศัพท์ และที่อยู่จริงของผู้ใช้งาน บางส่วนยังมีข้อมูลอื่นเพิ่มเติมรวมอยู่ด้วย

Have I Been Pwned ระบุว่า ลักษณะของข้อมูลที่หลุดออกมาสอดคล้องกับคำชี้แจงของ 7-Eleven ที่บอกว่าการโจมตีจำกัดอยู่ใน “บางระบบที่ใช้จัดเก็บเอกสารแฟรนไชส์”

นี่ไม่ใช่ครั้งแรกที่ 7-Eleven เผชิญเหตุโจมตีไซเบอร์ ก่อนหน้านี้ในปี 2022 สาขาในเดนมาร์กเคยถูกโจมตีด้วยแรนซัมแวร์ จนต้องปิดร้านชั่วคราวถึง 175 สาขา หลังระบบบางส่วนถูกเข้ารหัสใช้งานไม่ได้

ขณะเดียวกัน ShinyHunters ก็กำลังถูกจับตาอย่างหนักในช่วงปีที่ผ่านมา หลังมุ่งโจมตีลูกค้าที่ใช้ระบบ Salesforce จำนวนมาก โดยอ้างว่าสามารถขโมยข้อมูลระดับ “พันล้านรายการ” จากหลายองค์กรทั่วโลก

รายชื่อองค์กรที่เคยตกเป็นเหยื่อและถูกกลุ่มนี้อ้างถึงก่อนหน้านี้ ได้แก่ European Commission, Vimeo, Zara, MANGO, McGraw-Hill, ADT, Medtronic, Pornhub, Rockstar Games, Match Group รวมถึง Cisco และ Google

ด้าน FBI ได้ออกมาเตือนเหยื่อของกลุ่ม ShinyHunters อีกครั้งเมื่อสองสัปดาห์ก่อนว่า ไม่ควรยอมจ่ายค่าไถ่ เนื่องจากไม่มีหลักประกันว่ากลุ่มอาชญากรจะลบข้อมูลที่ขโมยไปจริง และยังมีความเสี่ยงที่ข้อมูลจะถูกนำไปขายต่อ หรือใช้ข่มขู่เรียกเงินซ้ำอีกในอนาคต