6月25日,缅甸大型民营银行 AYA Bank 在官网发布安全公告称其旧版应用入口遭未经授权访问,导致部分“非金融性质的申请记录”泄露。银行指出核心金融系统、支付与卡管理系统未受影响,财务数据与金融服务仍安全并正常运行,同时提醒客户警惕诈骗与身份冒用。缅甸媒体后续报道黑客组织 LAPSUS$ 在暗网声称负责并窃取超 120GB 内部数据,威胁在7月8日前公开数据索要赎金,AYA Bank 尚未证实泄露规模或敏感信息被大规模外泄。
6 月 29 日消息,缅甸大型民营银行 AYA Bank(伊洛瓦底银行)于 6 月 25 日通过官网发布安全公告,确认其旧版应用程序入口网站遭到未经授权访问,导致部分“非金融性质的申请记录”发生泄露。
AYA Bank 在声明中强调,此次受影响的仅为旧版应用入口,与银行核心金融系统、AYA Pay 支付系统,以及信用卡和借记卡管理系统之间并不存在直接连接,因此核心业务并未受到影响。银行方面表示,目前所有财务数据仍处于安全状态,各项金融服务也维持正常运行。
不过,AYA Bank 同时提醒客户提高警惕,防范后续可能出现的诈骗电话、钓鱼邮件或其他社交工程攻击。因为即便泄露的数据不涉及直接资金信息,个人资料依然可能被攻击者用于二次诈骗或身份冒用。
而在攻击者身份方面,根据缅甸新闻机构 Burma News International 后续报道,黑客组织 LAPSUS$ 在暗网声称对此次攻击事件负责,成功窃取该银行超过 120GB 的内部数据,其中包含了大量客户个人资料。
LAPSUS$ 随后以公开数据为要挟,要求银行支付赎金,否则将在 7 月 8 日前将相关数据上传至暗网公开。不过目前 AYA Bank 尚未对 LAPSUS$ 所声称的 120GB 数据泄露规模作出正面回应,也未确认是否存在客户敏感信息被大规模外泄的情况。