数据泄露事件概述 - 网络安全公司UpGuard发现一个未受保护的亚马逊云服务器泄露了超过27.3万份文件，每份文件包含未编辑的银行账号、交易金额以及大量个人姓名、电话和邮箱地址 [1][8] - 泄露的数据文件格式符合印度国家自动清算所的统一要求，该清算系统由印度国家支付公司于2016年推出，截至2025年已被该国大多数银行和金融机构使用 [2][8] 涉及机构与数据分布 - 泄露数据涉及38家银行和非银行金融机构，其中超过一半的记录来自计划进行IPO的非银行金融公司Aye Finance，占比达59.63% [3][9] - 其他主要受影响机构包括印度国家银行（24.22%）、Muthoot Capital（13.31%）、巴罗达银行（11.13%）和印度旁遮普国家银行（10.6%） [9] - 尽管Aye Finance在泄露数据中占比过高，但其他涉事机构的规模远超该公司 [3][9] 事件响应与责任认定 - UpGuard为分析数据下载了5.5万份文件，并持续监控服务器，发现每天约有3000份新文件被添加 [4][9] - UpGuard于8月27日和28日通知Aye Finance，29日升级至印度国家支付公司，9月3日联系印度计算机应急响应小组，并于9月4日保护了暴露的数据存储桶 [4][9] - 尽管事件规模巨大，但尚无相关方承认对数据泄露负责，鉴于风险严重性，UpGuard在未等到各方回应前便通知了印度计算机应急响应小组 [5][9] - 印度国家支付公司澄清泄露并非源自其系统，经详细核查确认其系统内的国家自动清算所授权信息未遭暴露 [3][8] 泄露原因与数据性质 - Aye Finance表示，国家自动清算所环境涉及印度国家支付公司、银行及集成合作伙伴等多方，配置错误可能发生在任何环节，由于约38家机构受影响，问题不可能仅在于单个机构 [6] - 该公司补充称，管理银行与非银行发起人之间自动清算所授权的供应商几周前已发现配置错误问题，集成合作伙伴确认文件夹中不含KYC、Aadhaar号码、PAN号码等敏感标识符，仅包含未签名的自动清算所授权申请文件 [7]