สภาวิศวกรรถข้อมูล 300,000 รายการรั่ว — Hacker ใช้ช่องช่วง Songkran ดึงข้อมูลวิศวกรทั้งประเทศ

by

สภาวิศวกรรถข้อมูล 300,000 รายการรั่ว — Hacker ใช้ช่องช่วง Songkran ดึงข้อมูลวิศวกรทั้งประเทศ

วันที่ 23 เมษายน 2026 — สภาวิศวกรในประเทศไทย (Council of Engineers) ถูก hack ข้อมูลสมาชิกกว่า 300,000 รายการ นี่ไม่ใช่ small leak — นี่คือ database วิศวกรทั้งประเทศ

Engineering Council Thailand Data Breach

ข้อมูลที่รั่ว

  • ชื่อ, ที่อยู่, เบอร์โทรศัพท์
  • ข้อมูลสถานที่ทำงาน
  • ใบอนุญาตวิศวกร / ระดับวิศวกร

ทำไมถึงเกิดช่วง Songkran

เกิดระหว่างที่สภาวิศวกร อัปเกรดระบบจาก “COE Service 2” เป็น “COE Service 3” — ระหว่างเทศกาลสงกรานต์ (กลางเมษายน 2026)

ระหว่าง migration เกิดช่องโหว่ชั่วคราว — Hacker ใช้ account ของผู้ดูแลระบบ + บัญชีคณะกรรมการผู้เชี่ยวชาญหลายบัญชี เข้าถึง database สมาชิกได้ทั้งหมด

Holiday = Security Risk

  • พนักงานลาพักร้อน → ตอบปัญหาช้า
  • Migration ระหว่างวันหยุดยาว → ไม่มี team คอย monitor
  • Hacker รู้ว่าช่วงนี้มีช่องว่าง

ภัยที่ตามมา

1. Scam Calls / Phishing

  • “สภาวิศวกร แจ้งต่ออายุใบอนุญาต” → หลอกเอาเงิน
  • “มีโครงการอบรม กรุณาโอนเงิน” → หลอก
  • “ข้อมูลคุณถูกใช้ผิด กรุณายืนยันตัวตน” → phishing

2. Identity Theft

  • ใช้ข้อมูลวิศวกรเปิดบัญชีปลอม
  • ใช้ชื่อบริษัท/สถานที่ทำงานหลอกบุคคลอื่น

3. Targeted Attacks บนองค์กร

  • รู้ว่าใครเป็นวิศวกร → ส่ง spear phishing ไปที่บริษัท
  • รู้ระดับความเชี่ยวชาญ → สร้าง email หลอกที่น่าเชื่อถือ

สภาวิศวกรตอบยังไง

  • ยืนยันเหตุการณ์แล้ว
  • เตือนสมาชิกเรื่อง scam calls และ phishing
  • ยังไม่ยืนยันว่าข้อมูลถูกขายบน dark web หรือ leak สาธารณะหรือไม่

ถ้าเป็นสมาชิกสภาวิศวกร: ระมัดระวัง scam calls / SMS / email, อย่าคลิก links จาก unknown senders, ตรวจสอบบัญชีธนาคารเป็นประจำ

บริบท: Data Breach ในไทย ปี 2026

  • สภาวิศวกร: 300,000+ ราย — Migration vulnerability
  • Lovable: 18,000+ โปรเจกต์ — BOLA
  • FastGPT: Global users — NoSQL Injection

บทเรียนสำหรับองค์กรไทย

  1. อย่า migrate ระหว่างวันหยุดยาว — ทำในวันทำงาน มี team monitor เตรียม rollback plan
  2. Defense in Depth — ใช้ MFA, audit logs, rate limiting
  3. Respond อย่าช้า — มี incident response plan ที่ชัดเจน
  4. Encrypt Sensitive Data — ถ้า database ถูกดึงไปแต่ข้อมูลถูก encrypt → damage ลดลงมาก

สรุป

  • Holiday = security risk อย่า migrate ระหว่างวันหยุดยาว
  • Data breach ในไทยเกิดบ่อยขึ้น — องค์กรต้องเร่งปรับปรุง security
  • ถ้าเป็นวิศวกร ที่สภาฯ → ระมัดระวัง scam ทันที
  • Encrypt sensitive data — ถ้าโดนดึงก็ยังปลอดภัยกว่า

📌 Original report: source
📌 รายละเอียด: details

Leave a Comment