Wahlap ผู้ผลิตตู้เกมอาร์เคดรายใหญ่จากจีนซึ่งมีพันธมิตรทางธุรกิจอย่าง Sega และ Timezone อาจปล่อยให้ข้อมูลผู้ใช้เกือบ 19 ล้านรายการเปิดเผยต่อสาธารณะโดยไม่ตั้งใจ ผ่าน Elasticsearch instance ที่ไม่มีการยืนยันตัวตน โดยข้อมูลดังกล่าวถูกรวบรวมผ่าน WeChat Mini Program ของบริษัท ตามรายงานของ Cybernews ที่ถูกอ้างอิงโดย TechRadar
ข้อมูลอะไรบ้างที่อาจรั่วไหลออกไป
ทีมนักวิจัยจาก Cybernews ระบุว่าพบ Elasticsearch instance ที่ไม่มีการป้องกันซึ่งเชื่อมโยงกับ Wahlap โดยมีรายการข้อมูลรวมทั้งสิ้นประมาณ 18.9 ล้านรายการ แบ่งออกเป็นหมวดหมู่ต่าง ๆ ได้แก่ ข้อมูลสมาชิก พฤติกรรมการเล่นเกม ข้อมูลทรัพย์สินในเกม และ snapshot ของผู้บริโภค
รายละเอียดที่น่ากังวลประกอบด้วย:
- Union ID ที่ไม่ซ้ำกันประมาณ 6.6 ล้านรายการ — ใช้ระบุตัวตนผู้ใช้ภายในระบบนิเวศ WeChat
- หมายเลขโทรศัพท์ ที่ไม่ซ้ำกันประมาณ 1.7 ล้านหมายเลข
- ชื่อและวันเกิด รวมกันประมาณ 24,000 รายการ
- ข้อมูลสมาชิกเพียงหมวดเดียวมีขนาดเกิน 10 GB
- มีข้อมูลส่วนบุคคลของ ผู้ใช้ที่เป็นผู้เยาว์ รวมอยู่ด้วย ทั้งชื่อ วันเกิด และข้อมูลตำแหน่งที่ตั้ง
Union ID มีความสำคัญเป็นพิเศษ เนื่องจากช่วยให้สามารถเชื่อมโยงพฤติกรรมของผู้ใช้คนเดียวกันข้ามหลาย Mini App ภายใน WeChat ได้ ซึ่งหมายความว่าผู้ไม่ประสงค์ดีสามารถสร้างโปรไฟล์ผู้ใช้ที่ละเอียดและน่าเชื่อถือได้มากขึ้น
ช่องโหว่เปิดอยู่นานแค่ไหน และปิดแล้วหรือยัง
ตามรายงานของ Cybernews Elasticsearch cluster ดังกล่าวเปิดให้เข้าถึงได้โดยไม่ต้องยืนยันตัวตนตั้งแต่วันที่ 19 มีนาคม 2026 จนถึง 18 พฤษภาคม 2026 รวมระยะเวลาอย่างน้อย 2 เดือน ก่อนที่จะได้รับการปิดกั้นในภายหลัง
ข้อมูลถูกจัดเก็บบน Elasticsearch cluster ที่ประกอบด้วยเซิร์ฟเวอร์ 3 เครื่องซึ่งเป็นของ Wahlap โดยตรง ระยะเวลาที่เปิดโล่งยาวนานถึง 2 เดือนนั้นเพิ่มความเสี่ยงอย่างมีนัยสำคัญ เนื่องจากเครื่องมือสแกนอัตโนมัติที่ใช้ค้นหาฐานข้อมูลที่ไม่มีการป้องกันทำงานตลอด 24 ชั่วโมง และไม่อาจตัดความเป็นไปได้ที่บุคคลภายนอกจะเข้าถึงข้อมูลดังกล่าวไปแล้ว
อย่างไรก็ตาม Cybernews ระบุว่า ยังไม่พบหลักฐานว่าข้อมูลถูกดึงออกไป ("no evidence that the data had been exfiltrated") และ Wahlap ก็ยังไม่ได้ออกแถลงการณ์เป็นลายลักษณ์อักษรยืนยันหรือรับทราบเหตุการณ์ดังกล่าว
ทำไม WeChat Mini App จึงเป็นจุดเสี่ยง
WeChat คือ super app ที่ครองตลาดจีน รวมฟังก์ชันตั้งแต่แชท การชำระเงิน ไปจนถึงเกมขนาดเบาไว้ในแอปเดียว Wahlap ใช้ "Wahlap WeChat Mini Program" เพื่อให้บริการแก่ผู้ใช้ในจีน โดยรวบรวมข้อมูลพฤติกรรมและสมาชิกผ่านช่องทางนี้ก่อนจัดเก็บลงใน Elasticsearch
ปัญหาเชิงโครงสร้างของ Mini Program ที่ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็น ได้แก่:
- การพึ่งพา Web communication ทำให้ยากต่อการป้องกันการโจมตีบางประเภท
- การ obfuscate หรือเข้ารหัส source code ทำได้ยาก ส่งผลให้มีการสร้าง Mini App ปลอมเพิ่มขึ้นอย่างรวดเร็ว — จากที่เคยใช้เวลา 1 สัปดาห์ในการสร้างแอปปลอม ปัจจุบันอาจทำได้ภายใน 1–2 วัน
- กรณีนี้ไม่ใช่ครั้งแรก เพราะในอดีตก็เคยมีข้อมูลที่เกี่ยวข้องกับ WeChat รั่วไหลผ่านฐานข้อมูลของบุคคลที่สามที่ตั้งค่าผิดพลาดมาแล้ว ซึ่งเป็นรูปแบบเดียวกับกรณีของ Wahlap
ในปี 2026 ทางการจีนยังกำหนดให้ผู้ประกอบการที่จัดการข้อมูลผู้ใช้ที่ละเอียดอ่อนต้องผ่านการประเมินความปลอดภัยของข้อมูล และต้องปฏิบัติตามกฎระเบียบคุ้มครองผู้เยาว์ฉบับใหม่ด้วย
ความเสี่ยงต่อผู้ใช้และสิ่งที่ควรทำตอนนี้
ข้อมูลที่รั่วไหลออกมาเป็นชุดที่เป็นอันตรายเป็นพิเศษ เนื่องจากการรวมกันของหมายเลขโทรศัพท์ ชื่อ วันเกิด และประวัติการลงทะเบียนเกม ทำให้ผู้ไม่ประสงค์ดีสามารถสร้างข้อความ phishing ที่ดูน่าเชื่อถือได้มาก เช่น การแอบอ้างเป็นฝ่ายสนับสนุนของ Wahlap หรือส่งการแจ้งเตือนโปรโมชันเกมปลอม
ที่น่ากังวลเป็นพิเศษคือการมีข้อมูลตำแหน่งที่ตั้งของผู้เยาว์รวมอยู่ด้วย ซึ่งเปิดความเสี่ยงที่ไม่ได้จำกัดอยู่แค่การหลอกลวงทางออนไลน์ แต่อาจนำไปสู่อันตรายทางกายภาพได้
สำหรับผู้ที่เคยใช้ WeChat Mini App ของ Wahlap หรือบริการอาร์เคดที่เกี่ยวข้อง ควรดำเนินการดังนี้:
- อย่าตอบสนองต่อข้อความ SMS หรือการติดต่อที่ไม่คาดคิด ที่อ้างชื่อ Wahlap หรือเกมที่เกี่ยวข้อง
- เปลี่ยนรหัสผ่าน ของบัญชีที่ใช้รหัสผ่านซ้ำกับบัญชี Wahlap หรือ WeChat โดยเร็ว
- ระวัง SMS phishing ที่อาจใช้ชื่อและข้อมูลส่วนตัวของคุณเพื่อสร้างความน่าเชื่อถือ
- ติดตามข่าวสาร จาก Wahlap เกี่ยวกับแถลงการณ์อย่างเป็นทางการและมาตรการชดเชย ซึ่งยังไม่มีการประกาศ ณ ขณะนี้
สำหรับผู้บริโภคในไทยที่เคยใช้ตู้เกมอาร์เคดของ Wahlap ตามห้างสรรพสินค้าหรือศูนย์เกม และลงทะเบียนผ่าน WeChat Mini App ควรให้ความสำคัญกับการตรวจสอบข้อความที่น่าสงสัยเป็นพิเศษ เนื่องจาก Wahlap มีฐานผู้ใช้ในภูมิภาคเอเชียตะวันออกเฉียงใต้ผ่านพันธมิตรอย่าง Timezone ที่มีสาขาในไทย
