เราขอชี้แจงเกี่ยวกับกรณีแอคเคานท์ส่วนหนึ่งถูกลักลอบล็อกอิน และ ขอให้ท่านเปลี่ยนพาสเวิร์ดโดยทันทีเพื่อความปลอดภัย

เราได้ตรวจพบว่าแอคเคานท์ของผู้ใช้งานบางท่านของPIXTA ได้ถูกลักลอบล็อกอินโดยบุคคลที่สามโดยไม่ได้รับอนุญาต ทางบริษัทได้ทำการตรวจสอบ จนถึงขณะนี้คาดว่าเกิดจากการแฮกกิ้งโดยใช้วิธี “List based attack” (การลักลอบล็อกอินโดยใช้ลิสต์ของข้อมูลบัญชีที่ได้มาอย่างไม่ถูกต้อง)

เราขออนุญาตรายงานเกี่ยวกับสิ่งที่เกิดขึ้น รวมถึงสิ่งที่เรากำลังดำเนินการเพื่อแก้ไขสถานการณ์ในครั้งนี้ แต่เนื่องจากการลักลอบล็อกอินยังเกิดขึ้นอยู่เป็นระยะๆ ดังนั้นหากสถานการณ์มีการเปลี่ยนแปลงประการใด เราจะขอแจ้งให้ท่านทราบต่อไป

[สถานการณ์โดยสรุป]

<วันและเวลาที่เกิดเหตุ>

ตั้งแต่วันที่ 18 กันยายน 2560 เวลา 6:25 น. ถึง 20 กันยายน 2560 เวลา 16:20 น. โดยประมาณตามเวลาประเทศไทย

<จำนวนแอคเคานท์ที่ได้รับผลกระทบ>

252 แอคเคานท์

<ข้อมูลที่คาดว่าถูกลักลอบเข้าถึง>

ข้อมูลที่ผู้ใช้งานลงทะเบียนไว้กับ PIXTA และสามารถดูได้ในหน้าบัญชี (Mypage)

เช่น ชื่อนามสกุล, อีเมล์, วันเดือนปีเกิด, เพศ, ประเทศที่อาศัย, จำนวนและประวัติการได้รับเครดิตจากการขายภาพ, ข้อมูลบัญชีเพื่อรับเงินจากการขายภาพ ฯลฯ

ณ ขณะนี้เราได้พบว่า ระหว่างช่วงเวลาที่เกิดการลักลอบล็อกอินนั้น มี 7 แอคเคานท์ที่ได้ทำเรื่องเพื่อขอรับเงินจากเครดิตจากการขายภาพ แต่ทั้งหมดนั้นเป็นการทำเรื่องโดยอาศัยข้อมูลจากการแฮกกิ้ง ดังนั้นเราจึงไม่ได้ทำการโอนเงินให้แต่อย่างใด

นอกจากนี้เรายังพบว่า 20 แอคเคานท์จาก 252 แอคเคานท์ที่เกี่ยวข้อง มีความเป็นไปได้ว่าได้ถูกดูข้อมูลหมายเลขบัตรเครดิต 6 หลักแรกและ 2 หลักสุดท้ายรวมไปถึง ชื่อนามสกุลบนบัตรและวันหมดอายุของบัตร แต่เนื่องจากว่าทางระบบของ PIXTA ไม่ได้มีการเก็บหมายเลขบัตรเครดิตทุกหลักและ security code หลังบัตรไว้ ดังนั้นข้อมูลเหล่านี้จึงไม่เกิดการรั่วไหลจากการลักลอบล็อกอินในครั้งนี้

<วิธีการโจมตีที่เกิดขึ้น>

เราคาดว่าเป็นการลักลอบล็อกอินโดยวิธี List based Attack ซึ่งคือการแฮกกิ้งโดยอาศัยหมายเลข ID ผู้ใช้งาน และพาสเวิร์ดที่ได้มาอย่างไม่ถูกต้อง มาลองล็อกอินในเว็บไซต์หลายๆแห่ง เพื่อหวังจะขโมยข้อมูลส่วนตัวของผู้ใช้งานนั้นๆ

<การดำเนินการแก้ไขสถานการณ์ของPIXTA>

เราได้ทำการรีเซ็ทพาสเวิร์ดของทั้ง 252 แอคเคานท์ที่เกี่ยวข้องเมื่อวันที่ 22 กันยายนที่ผ่านมา และได้อีเมล์ติดต่อผู้ใช้งานเหล่านี้เพื่ออธิบายสิ่งที่เกิดขึ้น และขอร้องให้ทำการเปลี่ยนแปลงพาสเวิร์ดเป็นที่เรียบร้อยแล้ว

และเพื่อความปลอดภัย เรายังได้ขึ้นข้อความบนเว็ปไซต์เพื่อเตือนให้ผู้ใช้งานท่านอื่นเปลี่ยนพาสเวิร์ดด้วยเช่นกัน

นอกจากนี้ เรายังได้ทำการแจ้งความไว้ที่สถานีตำรวจเขตชิบุย่าประเทศญี่ปุ่น (ตามที่อยู่ของบริษัทแม่ของPIXTA) ไว้ด้วยแล้ว

[ขอความร่วมมือเปลี่ยนพาสเวิร์ด]

การโจมตีแบบ List based attack นั้นไม่ใช่เทคนิคใหม่ และเกิดขึ้นอย่างต่อเนื่องกับเว็บไซต์มากมายบนอินเตอร์เน็ตในปัจจุบัน และเนื่องจากผู้ไม่หวังดีเหล่านั้นได้ข้อมูลล็อกอิน ID และพาสเวิร์ดจากเว็บไซต์อื่นแล้ว การที่ท่านยังคงใช้ล็อกอินID (หรืออีเมล์) และพาสเวิร์ดชุดเดียวกับเว็บไซต์อื่นหลายๆที่นั้น ย่อมเพิ่มความเสี่ยงที่บัญชีของท่านบนเว็บไซต์เหล่านั้นจะถูกลักลอบเข้าถึงข้อมูลด้วยเช่นกัน ดังนั้นเราจึงอยากเรียนขอให้ทุกท่านที่ใช้ล็อกอิน ID และพาสเวิร์ดชุดเดียวกับเว็บไซต์อื่น ได้โปรดทำการเปลี่ยนแปลงพาสเวิร์ดของท่านให้เร็วที่สุดเพื่อลดความเสี่ยงของตัวท่านเอง

อย่างไรก็ดี การตั้งค่าพาสเวิร์ดที่สามารถเดาได้ง่ายดังตัวอย่างด้านล่างนี้ ยังมีความเสี่ยงที่จะถูกโจรกรรมข้อมูลได้ ดังนั้นเราจึงอยากขอแนะนำให้ท่านใช้พาสเวิร์ดที่สามารถเดาได้ยากขึ้นด้วย

  • การใช้ล็อกอิน ID (หรืออีเมล์) และพาสเวิร์ดชุดเดียวกับเว็บไซต์อื่น
  • การใช้พาสเวิร์ดที่มีส่วนหนึ่งเป็นล็อกอิน ID
  • การใช้พาสเวิร์ดที่ใช้ตัวอักษรเดียวซ้ำๆ
  • การใช้พาสเวิร์ดที่เป็นวันเดือนปีเกิด หรือหมายเลขโทรศัพท์
  • การใช้พาสเวิร์ดที่เป็นเพียงตัวเลขอย่างเดียว
  • การใช้พาสเวิร์ดที่เป็นคำศัพท์ง่ายๆเช่น password

<วิธีเปลี่ยนพาสเวิร์ด>

กรุณาคลิกหรือเปิดลิ้งก์ด้านล่างนี้ แล้วใส่อีเมล์ที่ท่านได้ลงทะเบียนไว้กับ PIXTA ลงในช่องที่แสดงไว้ หลังจากนั้นทางเราจะส่งอีเมล์เพื่อทำการเปลี่ยนพาสเวิร์ดถึงท่านทันที

https://th.pixtastock.com/users/remind

หลังจากท่านได้รับอีเมล์แล้ว กรุณาคลิกลิ้งก์ในนั้น เพื่อเข้าสู่หน้าเว็บไซต์เพื่อทำการเบลี่ยนพาสเวิร์ด ตั้งพาสเวิร์ดใหม่และยืนยัน จากนั้นกดปุ่ม “ไปต่อ” เท่านี้การเปลี่ยนพาสเวิร์ดก็เป็นอันเรียบร้อย แล้วท่านก็จะสามารถใช้ล็อกอิน ID และพาสเวิร์ดใหม่เพื่อเข้าสู่เว็บไซต์ PIXTA ได้ทันที

 

PIXTAต้องกราบขออภัยเป็นอย่างยิ่งอีกครั้งที่ทำให้ท่านเกิดความกังวลและไม่สบายใจจากเหตุการณ์ในครั้งนี้ และเราสัญญาว่าเราจะดำเนินการปรับปรุงทั้งระบบและองค์กร เพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะเดียวกันนี้ รวมถึงเพิ่มความปลอดภัยในทุกๆด้านของบริการ เพื่อให้ท่านสามารถใช้งานได้อย่างมั่นใจและสบายใจยิ่งขึ้นในอนาคต

 

<หากท่านมีปัญหาหรือข้อสงสัยใดๆ>

ท่านสามารถติดต่อเราผ่านทางแบบฟอร์มคำร้องด้านล่างนี้

https://th.pixtastock.com/contacts