บริษัท iFood ยอมรับอย่างเป็นทางการถึงเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อผู้ใช้จำนวน 1.2 ล้านราย โดยเปิดเผยเมื่อวันพุธที่ 3 มิถุนายน 2569 ผ่านแถลงการณ์อย่างเป็นทางการ เหตุการณ์ดังกล่าวเกิดขึ้นในเดือนธันวาคม 2568 และทางบริษัทระบุว่าเป็นเหตุการณ์ที่ถูกจำกัดวงและควบคุมได้อย่างรวดเร็วด้วยมาตรการรักษาความปลอดภัยที่มีอยู่ ตามข้อมูลของ iFood ขอบเขตของปัญหาครอบคลุมเพียงประมาณร้อยละ 2 ของฐานลูกค้าทั้งหมดของบริษัท การเปิดเผยครั้งนี้เกิดขึ้นเกือบหกเดือนหลังจากเหตุการณ์จริง โดยไม่มีรายละเอียดว่าทำไมจึงใช้เวลานานในการแจ้งต่อสาธารณะ
รายละเอียดข้อมูลที่ถูกเปิดเผย
ตามที่บริษัทแจ้ง ข้อมูลที่ถูกเปิดเผยประกอบด้วยชื่อเต็มและหมายเลข CPF ของผู้ใช้ที่ได้รับผลกระทบ อย่างไรก็ตาม iFood ยืนยันว่าไม่มีข้อมูลประจำตัวในการเข้าสู่ระบบ เช่น รหัสผ่าน ถูกบุกรุก นอกจากนี้ ข้อมูลช่องทางการชำระเงิน รายการทางการเงิน และข้อมูลธนาคารก็ไม่ได้รับผลกระทบจากการรั่วไหลครั้งนี้ บริษัทกล่าวว่าไม่มีหลักฐานว่าธุรกรรมใด ๆ บนแพลตฟอร์มถูกเข้าถึงโดยไม่ได้รับอนุญาต การแถลงดังกล่าวมุ่งเน้นไปที่การจำกัดความเสียหาย แต่ยังคงสร้างความกังวลในหมู่ผู้ใช้ที่อาจไม่รู้ว่าข้อมูลส่วนบุคคลของตนตกอยู่ในมือของบุคคลที่สาม
การตอบสนองของบริษัทและเหตุผลที่ไม่แจ้งผู้ใช้
ในแถลงการณ์ iFood ระบุว่าบริษัทยังคงใช้มาตรการป้องกันตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (LGPD) โดยย้ำว่าเหตุการณ์นี้ได้รับการจัดการตามกฎหมายที่บังคับใช้ การตัดสินใจไม่แจ้งให้ผู้ใช้ทราบอย่างเป็นทางการนั้นขึ้นอยู่กับการประเมินว่าอุบัติการณ์ดังกล่าวไม่ก่อให้เกิดความเสี่ยงหรือความเสียหายที่มีนัยสำคัญ บริษัทอ้างถึงเกณฑ์ด้านกฎระเบียบที่กำหนดโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ANPD) เพื่อสนับสนุนจุดยืนนี้ iFood กล่าวเสริมว่าเหตุการณ์นี้ได้รับการประเมินอย่างเคร่งครัดตามกฎหมาย ซึ่งไม่จำเป็นต้องรายงานหรือแจ้งเตือนเมื่อไม่มีผลกระทบร้ายแรงต่อเจ้าของข้อมูล อย่างไรก็ตาม บริษัทไม่ได้ระบุว่ามีการแจ้งต่อ ANPD หรือหน่วยงานอื่นหรือไม่
ข้อกังวลจากผู้เชี่ยวชาญด้านความปลอดภัย
ผู้เชี่ยวชาญด้านความปลอดภัยทางดิจิทัลแสดงความกังวลว่า การเปิดเผยชื่อและ CPF อาจเปิดช่องทางให้เกิดกลโกงแบบวิศวกรรมสังคม แม้ว่ารหัสผ่านและข้อมูลทางการเงินจะไม่รั่วไหล แต่หมายเลข CPF ยังคงเป็นข้อมูลที่ละเอียดอ่อนซึ่งสามารถนำไปใช้ในการปลอมแปลงเอกสารหรือสร้างความน่าเชื่อถือในการหลอกลวง iFood ยังคงยืนยันว่าไม่มีผลเสียที่มีนัยสำคัญต่อผู้ใช้ แต่การตัดสินใจไม่แจ้งเตือนอาจก่อให้เกิดการถกเถียงเกี่ยวกับเกณฑ์ความเสี่ยงที่บริษัทต่าง ๆ นำมาใช้ภายใต้กฎหมาย LGPD ความเงียบของบริษัทอาจทำให้ผู้ใช้ไม่ทราบถึงความเสี่ยงที่แท้จริงและไม่สามารถป้องกันตนเองได้ทันท่วงที
ช่องทางการสื่อสารทางการและการแจ้งเตือนที่ควรระวัง
iFood ได้แนะนำให้ลูกค้าระวังข้อความที่ไม่เป็นทางการซึ่งอาจถูกส่งออกไปเกี่ยวกับเหตุการณ์นี้ โดยย้ำว่าการติดต่อที่ถูกต้องจะมาจากช่องทางอย่างเป็นทางการของบริษัทเท่านั้น อย่างไรก็ตาม บริษัทไม่ได้แจ้งว่าจะมีการติดต่อผู้ใช้ที่ได้รับผลกระทบทั้ง 1.2 ล้านรายเป็นการส่วนตัวหรือไม่ จนถึงขณะนี้ยังไม่มีข้อมูลเกี่ยวกับต้นตอของการรั่วไหลหรือตัวผู้กระทำความผิด การที่บริษัทไม่แจ้งเตือนรายบุคคลอาจทำให้ผู้ใช้จำนวนมากไม่ทราบว่าข้อมูลของตนถูกเปิดเผย และไม่สามารถเฝ้าระวังกิจกรรมที่ผิดปกติได้ สถานการณ์นี้เน้นย้ำถึงความไม่สมดุลระหว่างความโปร่งใสที่ควรมีกับข้อกำหนดทางเทคนิคของกฎหมาย
สำหรับผู้ใช้ที่อาจได้รับผลกระทบ การตรวจสอบกิจกรรมบัญชีและระวังการติดต่อจากบุคคลที่ไม่รู้จักที่อ้างอิงข้อมูลส่วนบุคคลกลายเป็นสิ่งที่จำเป็น แม้ iFood จะยืนยันว่าไม่มีข้อมูลการเงินรั่วไหล แต่ผู้ใช้ยังคงเสี่ยงต่อการถูกหลอกลวงทางโทรศัพท์หรืออีเมลที่ใช้ชื่อและ CPF เพื่อสร้างความน่าเชื่อถือ การที่บริษัทเลือกไม่แจ้งเตือนล่วงหน้าทำให้ผู้ใช้ไม่มีข้อมูลเพียงพอที่จะตัดสินใจเกี่ยวกับการป้องกันตนเอง การตัดสินใจครั้งนี้อาจส่งผลกระทบต่อความไว้วางใจของผู้บริโภคที่มีต่อแพลตฟอร์มดิจิทัลและประสิทธิภาพของการกำกับดูแลตนเองในระยะยาว