Raport incydentu z 1 marca 1 marca 2026 roku Bitrefill był celem cyberataku. Na podstawie wskaźników zaobserwowanych podczas dochodzenia - w tym modus operandi, użytego złośliwego oprogramowania, śledzenia on-chain oraz powtórnie używanych adresów IP + e-mail (!) - znajdujemy wiele podobieństw między tym atakiem a wcześniejszymi cyberatakami grupy DPRK Lazarus / Bluenoroff przeciwko innym firmom w branży kryptowalut. Początkowy dostęp pochodził z zainfekowanego laptopa pracownika, z którego wykradziono przestarzałe dane uwierzytelniające. Te dane umożliwiły dostęp do migawki zawierającej tajemnice produkcyjne. Stamtąd napastnicy byli w stanie eskalować swój dostęp do naszej szerszej infrastruktury, w tym części naszej bazy danych i niektórych portfeli kryptowalutowych. Po raz pierwszy wykryliśmy incydent, zauważając podejrzane wzorce zakupowe u niektórych dostawców. Zdałem sobie sprawę, że nasze zapasy kart podarunkowych i linie dostaw były wykorzystywane. W tym samym czasie odkryliśmy, że niektóre z naszych gorących portfeli były opróżniane, a środki transferowane do portfeli kontrolowanych przez napastników. W momencie, gdy zidentyfikowaliśmy naruszenie, wyłączyliśmy wszystkie nasze systemy w ramach naszej reakcji na sytuację. Bitrefill prowadzi globalny biznes e-commerce z dziesiątkami dostawców, tysiącami produktów i wieloma metodami płatności w wielu krajach. Bezpieczne wyłączenie tych wszystkich rzeczy i ponowne ich uruchomienie nie jest trywialne. Od incydentu nasz zespół ściśle współpracuje z czołowymi badaczami bezpieczeństwa w branży, specjalistami ds. reakcji na incydenty, analitykami on-chain oraz organami ścigania, aby zrozumieć, co się stało i jak możemy zapobiec temu w przyszłości. Szczere podziękowania dla @zeroshadow_io, @SEAL_Org, @RecoverisTeam i @fearsoff za ich szybką reakcję i wsparcie w trakcie tej trudnej sytuacji. Co z twoimi danymi Na podstawie naszego dochodzenia i naszych logów nie mamy powodu sądzić, że dane klientów były celem tego naruszenia. Nie ma dowodów na to, że wykradziono naszą całą bazę danych, tylko że napastnicy przeprowadzili ograniczoną liczbę zapytań zgodnych z badaniem, aby zrozumieć, co można ukraść, w tym kryptowaluty i zapasy kart podarunkowych Bitrefill. Bitrefill został zaprojektowany tak, aby przechowywać bardzo mało danych osobowych. Jesteśmy sklepem, a nie dostawcą usług kryptowalutowych. Nie wymagamy obowiązkowego KYC. Gdy klient decyduje się zweryfikować swoje konto - np. aby uzyskać dostęp do wyższych poziomów zakupów lub niektórych produktów - te dane są przechowywane wyłącznie u naszego zewnętrznego dostawcy KYC, bez kopii zapasowych w naszym systemie. Mimo to, na podstawie logów bazy danych, wiemy, że dostęp do podzbioru rekordów zakupów został uzyskany i chcemy być w tej kwestii transparentni. Około 18 500 rekordów zakupów zostało uzyskanych przez napastników. Te rekordy zawierały ograniczone informacje o klientach, takie jak adresy e-mail, adresy płatności kryptowalutowych oraz metadane, w tym adres IP. W przypadku około 1 000 zakupów, konkretne produkty wymagały od klientów podania imienia. Te informacje są szyfrowane w naszej bazie danych. Jednakże, ponieważ napastnicy mogli uzyskać dostęp do kluczy szyfrujących, traktujemy te dane jako potencjalnie dostępne. Klienci w tej kategorii zostali już bezpośrednio powiadomieni e-mailem. W tej chwili, na podstawie dostępnych informacji, nie uważamy, że klienci muszą podejmować konkretne działania. Jako środek ostrożności zalecamy zachowanie ostrożności w przypadku jakichkolwiek niespodziewanych komunikacji związanych z Bitrefill lub kryptowalutami. Jeśli ta ocena się zmieni, oczywiście natychmiast poinformujemy osoby dotknięte. Co robimy Już znacznie poprawiliśmy nasze praktyki w zakresie cyberbezpieczeństwa, ale zobowiązujemy się do dalszego wyciągania wniosków z tego doświadczenia, aby zapewnić maksymalne bezpieczeństwo sald użytkowników i firmy oraz danych. Konkretnie: ...