Vorfallbericht vom 1. März Am 1. März 2026 war Bitrefill Ziel eines Cyberangriffs. Basierend auf den während der Untersuchung beobachteten Indikatoren - einschließlich des Modus Operandi, der verwendeten Malware, der On-Chain-Verfolgung und wiederverwendeter IP- + E-Mail-Adressen (!) - finden wir viele Ähnlichkeiten zwischen diesem Angriff und früheren Cyberangriffen der DPRK Lazarus / Bluenoroff-Gruppe gegen andere Unternehmen in der Kryptoindustrie. Der erste Zugriff erfolgte über ein kompromittiertes Mitarbeiter-Laptop, von dem aus ein veraltetes Zugangsdatenpaket exfiltriert wurde. Diese Zugangsdaten ermöglichten den Zugriff auf einen Snapshot, der Produktionsgeheimnisse enthielt. Von dort aus konnten die Angreifer ihren Zugriff auf unsere umfassendere Infrastruktur ausweiten, einschließlich Teilen unserer Datenbank und bestimmter Kryptowährungs-Wallets. Wir haben den Vorfall zuerst bemerkt, nachdem wir verdächtige Kaufmuster bei bestimmten Lieferanten festgestellt hatten. Wir erkannten, dass unser Geschenkkartenbestand und unsere Lieferketten ausgenutzt wurden. Gleichzeitig stellten wir fest, dass einige unserer Hot Wallets abgeräumt wurden und Gelder auf von Angreifern kontrollierte Wallets transferiert wurden. In dem Moment, als wir die Sicherheitsverletzung identifizierten, haben wir alle unsere Systeme offline genommen, um unsere Reaktion auf die Eindämmung zu unterstützen. Bitrefill betreibt ein globales E-Commerce-Geschäft mit Dutzenden von Lieferanten, Tausenden von Produkten und mehreren Zahlungsmethoden in vielen Ländern. Alle diese Dinge sicher abzuschalten und wieder online zu bringen, ist nicht trivial. Seit dem Vorfall arbeitet unser Team eng mit führenden Sicherheitsforschern der Branche, Spezialisten für Incident Response, On-Chain-Analysten und Strafverfolgungsbehörden zusammen, um zu verstehen, was passiert ist und wie wir verhindern können, dass es erneut geschieht. Ein aufrichtiger Dank geht an @zeroshadow_io, @SEAL_Org, @RecoverisTeam und @fearsoff für ihre schnelle Reaktion und Unterstützung während dieser schwierigen Zeit. Was ist mit Ihren Daten Basierend auf unserer Untersuchung und unseren Protokollen haben wir keinen Grund zu der Annahme, dass Kundendaten das Ziel dieses Vorfalls waren. Es gibt keine Beweise dafür, dass sie unsere gesamte Datenbank extrahiert haben, nur dass die Angreifer eine begrenzte Anzahl von Abfragen durchgeführt haben, die mit dem Probing übereinstimmen, um zu verstehen, was es zu stehlen gab, einschließlich Kryptowährungen und dem Inventar von Bitrefill-Geschenkkarten. Bitrefill wurde so konzipiert, dass sehr wenig persönliche Daten gespeichert werden. Wir sind ein Geschäft, kein Krypto-Dienstleister. Wir verlangen keine obligatorische KYC. Wenn ein Kunde sich entscheidet, sein Konto zu verifizieren - z. B. um auf höhere Kaufstufen oder bestimmte Produkte zuzugreifen - werden diese Daten ausschließlich bei unserem externen KYC-Anbieter gespeichert, ohne Backups in unserem System. Dennoch wissen wir basierend auf den Datenbankprotokollen, dass eine Teilmenge von Kaufaufzeichnungen zugegriffen wurde, und wir möchten darüber transparent sein. Etwa 18.500 Kaufaufzeichnungen wurden von den Angreifern zugegriffen. Diese Aufzeichnungen enthielten begrenzte Kundeninformationen, wie E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten einschließlich IP-Adresse. Für etwa 1.000 Käufe mussten spezifische Produkte von den Kunden einen Namen verlangen. Diese Informationen sind in unserer Datenbank verschlüsselt. Da die Angreifer jedoch möglicherweise Zugriff auf die Verschlüsselungsschlüssel erhalten haben, behandeln wir diese Daten als potenziell zugegriffen. Kunden in dieser Kategorie wurden bereits direkt per E-Mail benachrichtigt. Zu diesem Zeitpunkt glauben wir basierend auf den derzeit verfügbaren Informationen nicht, dass Kunden spezifische Maßnahmen ergreifen müssen. Als Vorsichtsmaßnahme empfehlen wir, vorsichtig zu sein bei unerwarteten Mitteilungen im Zusammenhang mit Bitrefill oder Krypto. Wenn sich diese Einschätzung ändert, werden wir die Betroffenen selbstverständlich umgehend informieren. Was wir tun Wir haben bereits unsere Cybersicherheitspraktiken erheblich verbessert, aber wir schwören, weiterhin aus dieser Erfahrung zu lernen, um sicherzustellen, dass Benutzer- und Unternehmensguthaben sowie Daten maximal sicher bleiben. Konkret tun wir: ...