กลุ่มแฮกเกอร์ ShinyHunters อ้างว่าสามารถเจาะระบบของ Charter Communications บริษัทโทรคมนาคมรายใหญ่ของสหรัฐฯ และขโมยข้อมูลลูกค้ากว่า 40 ล้านรายการ ครอบคลุมทั้งชื่อ อีเมล เบอร์โทรศัพท์ และข้อมูลแพ็กเกจบริการ ขณะที่ Charter ยืนยันว่าเกิดเหตุการณ์ขึ้นจริง แต่ปฏิเสธว่าข้อมูลสำคัญไม่ได้รั่วไหลออกไป — ทั้งสองฝ่ายยืนคนละขั้วอย่างสิ้นเชิง

ShinyHunters อ้างอะไร และเจาะระบบอย่างไร

ตามรายงานของ BleepingComputer ซึ่ง Tom's Guide นำมาอ้างอิง ShinyHunters ระบุว่าเริ่มปฏิบัติการเมื่อวันที่ 1 เมษายน 2026 โดยใช้วิธี vishing (voice phishing) หรือการโทรศัพท์หลอกลวงพนักงาน เพื่อเข้าถึงบัญชี Microsoft Entra ของพนักงาน Charter จากนั้นใช้สิทธิ์ดังกล่าวเจาะเข้าสู่ฐานข้อมูล Salesforce ของบริษัท และดึงข้อมูลออกมาโดยไม่ต้องใช้มัลแวร์แม้แต่ตัวเดียว

ข้อมูลที่กลุ่มนี้อ้างว่าได้ไปมีดังนี้:

  • ชื่อ-นามสกุลลูกค้า
  • อีเมลและเบอร์โทรศัพท์
  • ที่อยู่บ้าน
  • ข้อมูลแพ็กเกจบริการที่สมัครใช้งาน
  • ข้อมูล CPNI (Customer Proprietary Network Information)
  • ข้อมูลจากระบบ Support Ticket

สำคัญที่ต้องทำความเข้าใจคือ ตัวเลข "40 ล้านรายการ" หมายถึงจำนวน record ไม่ใช่จำนวนบุคคล เนื่องจากลูกค้าหนึ่งคนอาจมีหลาย record ในระบบ จำนวนผู้ที่ได้รับผลกระทบจริงจึงยังไม่สามารถระบุได้ในขณะนี้

Charter ยืนยันเหตุการณ์ แต่ปฏิเสธการรั่วไหลของข้อมูลสำคัญ

Charter ออกแถลงการณ์ยืนยันว่าเกิดเหตุการณ์ขึ้นจริงและได้แจ้งเจ้าหน้าที่ที่เกี่ยวข้องแล้ว พร้อมเปิดใช้งานโปรโตคอลความปลอดภัยภายใน อย่างไรก็ตาม บริษัทปฏิเสธข้อกล่าวหาเรื่องการรั่วไหลของข้อมูลสำคัญอย่างชัดเจน

"เราทราบถึงสถานการณ์ดังกล่าวและกำลังประสานงานกับเจ้าหน้าที่ตามโปรโตคอลความปลอดภัย ไม่มีหลักฐานว่าข้อมูลส่วนบุคคลที่ละเอียดอ่อน (PI) หรือ CPNI ถูกนำออกไปจากระบบของเราอันเป็นผลจากกิจกรรมของผู้คุกคามรายนี้" — โฆษก Charter Communications

ณ ขณะนี้ทั้งสองฝ่ายยืนคนละขั้วอย่างสิ้นเชิง และยังไม่มีการตรวจสอบอิสระที่ยืนยันหรือหักล้างข้อเรียกร้องของ ShinyHunters ได้

รูปแบบการโจมตีที่ซ้ำแล้วซ้ำเล่าในปี 2026

Charter ไม่ใช่เหยื่อรายแรกของ ShinyHunters ในปีนี้ กลุ่มนี้ซึ่งเริ่มปฏิบัติการมาตั้งแต่ปี 2019 ได้เร่งความถี่การโจมตีอย่างเห็นได้ชัดในปี 2026

ช่วงเวลาเป้าหมายขนาดที่รายงาน
กุมภาพันธ์ 2026Paneraมากกว่า 5 ล้าน record
มีนาคม 2026Aura (บริการป้องกัน ID)ประมาณ 1 ล้าน record
เมษายน 2026ADT5.5 ล้าน record (เผยแพร่ออนไลน์แล้ว)
พฤษภาคม 2026Instructure (Canvas LMS)อ้างว่า 3.65 TB ครอบคลุม 275 ล้านผู้ใช้ใน 8,809 สถาบัน

รูปแบบการโจมตีที่พบซ้ำๆ คือการใช้ vishing เพื่อขโมยข้อมูลล็อกอินของ IDaaS อย่าง Okta หรือ Microsoft Entra จากนั้นลงทะเบียนอุปกรณ์ MFA ใหม่และเข้าถึงฐานข้อมูล Salesforce โดยตรง — เป็นเส้นทาง "IDaaS → SaaS" ที่ไม่ต้องใช้มัลแวร์และตรวจจับได้ยาก

นอกจากนี้ ShinyHunters ยังใช้กลยุทธ์กดดันหลายชั้น ได้แก่ การลงรายชื่อบริษัทในเว็บไซต์ leak พร้อมกำหนดเส้นตาย การส่ง SMS คุกคามพนักงาน และการโจมตี DDoS เว็บไซต์ของเหยื่อ สำหรับ Charter กลุ่มนี้ตั้งเส้นตายไว้ที่ 27 พฤษภาคม 2026 โดยระบุว่าหากไม่มีการเจรจาจะเผยแพร่ข้อมูลทั้งหมด

4 วิธีป้องกันตัวเองที่ควรทำทันที

แม้ยังไม่มีข้อสรุปว่าข้อมูลรั่วไหลจริงหรือไม่ การเตรียมรับมือล่วงหน้าถือเป็นแนวทางที่ชาญฉลาดกว่าการรอความชัดเจน

  1. ระวังอีเมลและ SMS ที่อ้างว่ามาจากผู้ให้บริการ — ข้อมูลที่รั่วไหลอย่างชื่อ เบอร์โทร และแพ็กเกจที่ใช้งาน ทำให้ฟิชชิงแบบ targeted มีความน่าเชื่อถือสูงขึ้นมาก ผู้ใช้ในไทยควรระวังรูปแบบเดียวกันนี้จากผู้ให้บริการทุกราย
  2. ไม่คลิกลิงก์ในอีเมลหรือ SMS ที่ไม่ได้ร้องขอ — โดยเฉพาะข้อความที่แจ้งเรื่องค่าบริการค้างชำระหรือการยืนยันบัญชี
  3. ตรวจสอบจดหมายแจ้งเตือนจากบริษัท — หากได้รับผลกระทบ Charter มีหน้าที่ส่งหนังสือแจ้งอย่างเป็นทางการ
  4. อัปเดตซอฟต์แวร์ความปลอดภัยให้เป็นปัจจุบัน — ทั้งบน Windows และ macOS ควรใช้โปรแกรม antivirus ที่เชื่อถือได้

สิ่งที่จะบอกว่าใครพูดความจริง

ปัจจุบันยังอยู่ในขั้นที่ทั้งสองฝ่ายยืนยันคนละเรื่อง จุดที่จะช่วยให้ภาพชัดขึ้นคือ: Charter ส่งหนังสือแจ้งการละเมิดข้อมูลให้ลูกค้าหรือไม่, ShinyHunters เผยแพร่ตัวอย่างข้อมูลจริงหรือไม่ และมีการตรวจสอบอิสระจากนักวิจัยด้านความปลอดภัยหรือไม่

สำหรับผู้ใช้บริการในไทย — แม้ Charter/Spectrum จะไม่ได้ให้บริการในประเทศไทยโดยตรง แต่กรณีนี้สะท้อนให้เห็นรูปแบบการโจมตีที่กลุ่ม ShinyHunters ใช้ซ้ำๆ กับบริษัทขนาดใหญ่ทั่วโลก ผู้ใช้บริการโทรคมนาคมและ SaaS ทุกรายควรตระหนักว่าข้อมูลส่วนตัวที่ดูเหมือนไม่สำคัญ เช่น เบอร์โทรและแพ็กเกจที่ใช้งาน สามารถถูกนำไปใช้เป็นเครื่องมือในการโจมตีแบบ targeted ได้อย่างมีประสิทธิภาพ

แหล่งที่มา