Rapporto sull'incidente del 1° marzo Il 1° marzo 2026, Bitrefill è stato oggetto di un attacco informatico. Sulla base degli indicatori osservati durante l'indagine - inclusi il modus operandi, il malware utilizzato, il tracciamento on-chain e gli indirizzi IP + email riutilizzati (!) - troviamo molte somiglianze tra questo attacco e attacchi informatici passati del gruppo DPRK Lazarus / Bluenoroff contro altre aziende nel settore delle criptovalute. L'accesso iniziale è avvenuto tramite un laptop di un dipendente compromesso, dal quale è stata esfiltrata una credenziale legacy. Quella credenziale ha fornito accesso a uno snapshot contenente segreti di produzione. Da lì, gli aggressori sono stati in grado di elevare il loro accesso alla nostra infrastruttura più ampia, inclusi parti del nostro database e alcuni portafogli di criptovalute. Abbiamo rilevato per la prima volta l'incidente dopo aver notato modelli di acquisto sospetti con alcuni fornitori. Ci siamo resi conto che il nostro stock di carte regalo e le linee di approvvigionamento stavano venendo sfruttate. Allo stesso tempo abbiamo trovato alcuni dei nostri portafogli caldi svuotati e fondi trasferiti a portafogli controllati dagli aggressori. Nel momento in cui abbiamo identificato la violazione, abbiamo messo offline tutti i nostri sistemi come parte della nostra risposta di contenimento. Bitrefill gestisce un'attività di e-commerce globale con dozzine di fornitori, migliaia di prodotti e molteplici metodi di pagamento in diversi paesi. Spegnere in sicurezza tutte queste cose e riportarle online non è banale. Dall'incidente, il nostro team ha lavorato a stretto contatto con i migliori ricercatori di sicurezza del settore, specialisti di risposta agli incidenti, analisti on-chain e forze dell'ordine per capire cosa è successo e come possiamo prevenire che accada di nuovo. Un sincero ringraziamento a @zeroshadow_io, @SEAL_Org, @RecoverisTeam e @fearsoff per la loro rapida risposta e supporto durante questa prova. Cosa ne è dei tuoi dati Sulla base della nostra indagine e dei nostri log, non abbiamo motivo di pensare che i dati dei clienti fossero l'obiettivo di questa violazione. Non ci sono prove che abbiano estratto il nostro intero database, solo che gli aggressori hanno eseguito un numero limitato di query coerenti con il probing per capire cosa ci fosse da rubare, inclusi criptovalute e inventario di carte regalo Bitrefill. Bitrefill è stato progettato per memorizzare pochissimi dati personali. Siamo un negozio, non un fornitore di servizi crypto. Non richiediamo KYC obbligatorio. Quando un cliente sceglie di verificare il proprio account - ad esempio, per accedere a livelli di acquisto più elevati o a determinati prodotti - quei dati vengono mantenuti esclusivamente con il nostro fornitore esterno di KYC, senza backup nel nostro sistema. Tuttavia, sulla base dei log del database, sappiamo che un sottoinsieme di record di acquisto è stato accesso e vogliamo essere trasparenti su questo. Circa 18.500 record di acquisto sono stati accessi dagli aggressori. Quei record contenevano informazioni limitate sui clienti, come indirizzi email, indirizzo di pagamento crypto e metadati inclusi indirizzo IP. Per circa 1.000 acquisti, prodotti specifici richiedevano ai clienti di fornire un nome. Quell'informazione è crittografata nel nostro database. Tuttavia, poiché gli aggressori potrebbero aver ottenuto accesso alle chiavi di crittografia, stiamo trattando questi dati come potenzialmente accessibili. I clienti in questa categoria sono già stati avvisati direttamente via email. In questo momento, sulla base delle informazioni attualmente disponibili, non crediamo che i clienti debbano intraprendere azioni specifiche. Come precauzione, raccomandiamo di rimanere cauti riguardo a comunicazioni inaspettate relative a Bitrefill o crypto. Se questa valutazione cambia, informeremo ovviamente immediatamente coloro che sono stati colpiti. Cosa stiamo facendo Abbiamo già migliorato significativamente le nostre pratiche di cybersecurity, ma ci impegniamo a continuare a trarre insegnamenti da questa esperienza per garantire che i saldi e i dati degli utenti e dell'azienda rimangano massimamente sicuri. In particolare stiamo: ...