วันที่ 13 เมษายน 2561 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) รายงานอ้างอิงนิอัลล์ เมอร์ริแกน (Niall Merrigan) นักวิจัยด้านความมั่นคงว่า ข้อมูลผู้ใช้บริการทรูมูฟ เอชรั่วไหล เนื่องจากเก็บข้อมูลในแอมะซอน เอส3 บักเก็ต (Amazon S3 bucket) ที่รักษาความปลอดภัยไม่เพียงพอ โดยเป็นไฟล์สแกนสำเนาบัตรประชาชน ใบขับขี่และหนังสือเดินทางระหว่างปี 2559 ถึง 2561 จำนวนประมาณ 46,000 ไฟล์[2] ทั้งนี้ หากบุคคลภายนอกทราบยูอาร์แอลก็สามารถดาวน์โหลดไฟล์ได้ทั้งหมด[3] ทางเมอร์ริแกนพยายามติดต่อบริษัทตั้งแต่วันที่ 10 มีนาคม โดยบริษัทยอมรับว่าไม่มีหน่วยงานด้านความปลอดภัยเฉพาะ[3] เพิ่งมาปิดความเป็นสาธารณะไปเมื่อวันที่ 12 เมษายน 2561[4]

ต่อมา ทรูออกแถลงการณ์ยอมรับว่าถูกแฮกข้อมูลผ่านไอทรูมาร์ต (Itruemart) โดยผู้ได้รับผลกระทบได้แก่ผู้ซื้อโทรศัพท์เคลื่อนที่พร้อมแพคเกจบริการทรูมูฟ เอช และลงทะเบียนซิมทางไอทรูมาร์ต ทีมงานจะมีการส่งแจ้งเตือนไปยังลูกค้ากลุ่มดังกล่าว[5] ด้านสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) แนะนำให้ประชาชนไปลงบันทึกประจำวันแจ้งไว้เป็นหลักฐานป้องกันผู้ร้ายนำไปสวมรอยหรือปลอมแปลง[2]

สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เรียกให้ทรูมูฟ เอช เข้าชี้แจงข้อเท็จจริงในวันที่ 17 เมษายน 2561 ด้านเลขาธิการ กสทช. ระบุว่า หากมีความผิดอาจถึงขั้นพักใช้ เพิกถอนใบอนุญาต[6]

วันที่ 17 เมษายน 2561 ผู้บริหารบริษัทไอทรูมาร์ทและ ทรู คอร์เปอเรชั่นเข้าชี้แจงกับ กสทช. โดยให้ข้อมูลว่าข้อมูลที่เก็บไว้ในคลาวด์มีจำนวน 11,400 เลขหมาย จากจำนวนลูกค้า 1 ล้านรายที่ลงทะเบียนผ่านทางออนไลน์ และการเข้าถึงข้อมูลตามข่าวมาจากการเจาะข้อมูลด้วยเครื่องมือพิเศษ 3 ชั้นซึ่งคนทั่วไปไม่สามารถเข้าถึงได้ ด้าน กสทช. ยังไม่สรุปว่าทรูมีความผิดหรือไม่ แต่จะทำหนังสือเตือนผู้ให้บริการทุกเครือข่ายโทรทัศน์ให้ตรวจสอบการจัดเก็บข้อมูลส่วนบุคคลของลูกค้า และอาจใช้งบประมาณจากกองทุนบริการโทรคมนาคมพื้นฐานโดยทั่วถึงและบริการเพื่อสังคม (USO) จัดทำฐานจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้เครือข่ายทุกค่ายแทนเอกชน[7]

วันที่ 18 เมษายน 2561 กสทช. สั่งให้บริษัท เรียล มูฟ จำกัด เยียวยาความเสียหายต่อผู้ใช้บริการที่ได้รับผลกระทบภายใน 7 วัน โดยหากไม่ปฏิบัติตามจะมีโทษปรับไม่ต่ำกว่าสองหมื่นบาทต่อวัน[8]