6月25日,一份安全公告从缅甸大型民营银行AYA Bank官网悄然发出。银行确认,其旧版应用程序的入口网站遭到未经授权访问,一部分"非金融性质的申请记录"因此外泄。没有资金受损,没有系统瘫痪,但一场围绕数据的博弈才刚开始。

AYA Bank在声明中划出了一条清晰的安全边界:出事的只是旧版应用入口,与银行核心金融系统、AYA Pay支付系统、信用卡及借记卡管理系统之间不存在直接连接。银行强调,目前所有财务数据仍处于安全状态,各项金融服务维持正常运转。这是在告诉客户:你的钱还在,但你的信息可能已经不在。

打开网易新闻 查看精彩图片

银行同时发出了一条更值得留意的提醒——警惕后续可能出现的诈骗电话、钓鱼邮件或其他社交工程攻击。这条提醒本身就是一个信号:即便泄露的不涉及直接资金信息,个人资料依然可以成为攻击者手中的工具,用于二次诈骗或身份冒用。数据泄露的伤害链,往往在新闻发布后才真正开始拉长。

攻击者的身份很快浮出水面。据缅甸新闻机构Burma News International后续报道,黑客组织LAPSUS$在暗网声称对此次攻击负责,并表示已成功窃取超过120GB的内部数据,其中包含大量客户个人资料。120GB——这个数字如果属实,意味着这不仅仅是"部分申请记录"那么简单。

LAPSUS$随后亮出了惯用剧本:以公开数据为要挟,要求银行支付赎金,否则将在7月8日前将相关数据上传至暗网公开。截至发稿,AYA Bank尚未对LAPSUS$所声称的120GB数据泄露规模作出正面回应,也未确认是否存在客户敏感信息被大规模外泄的情况。银行的沉默让这120GB成了一个悬在半空的黑色问号。