Rapport d'incident du 1er mars Le 1er mars 2026, Bitrefill a été la cible d'une cyberattaque. Sur la base des indicateurs observés lors de l'enquête - y compris le modus operandi, le malware utilisé, le traçage on-chain et les adresses IP + e-mail réutilisées (!) - nous trouvons de nombreuses similitudes entre cette attaque et les cyberattaques passées du groupe DPRK Lazarus / Bluenoroff contre d'autres entreprises des industries crypto. L'accès initial a été obtenu par le biais d'un ordinateur portable d'employé compromis, à partir duquel un identifiant ancien a été exfiltré. Cet identifiant a permis d'accéder à un instantané contenant des secrets de production. De là, les attaquants ont pu escalader leur accès à notre infrastructure plus large, y compris des parties de notre base de données et certains portefeuilles de cryptomonnaie. Nous avons d'abord détecté l'incident après avoir remarqué des modèles d'achat suspects avec certains fournisseurs. Nous avons réalisé que notre stock de cartes-cadeaux et nos lignes d'approvisionnement étaient exploités. En même temps, nous avons constaté que certains de nos portefeuilles chauds étaient vidés et que des fonds étaient transférés vers des portefeuilles contrôlés par les attaquants. Au moment où nous avons identifié la violation, nous avons mis tous nos systèmes hors ligne dans le cadre de notre réponse de confinement. Bitrefill opère une entreprise de commerce électronique mondiale avec des dizaines de fournisseurs, des milliers de produits et plusieurs méthodes de paiement dans de nombreux pays. Éteindre en toute sécurité toutes ces choses et les remettre en ligne n'est pas trivial. Depuis l'incident, notre équipe travaille en étroite collaboration avec des chercheurs en sécurité de premier plan, des spécialistes de la réponse aux incidents, des analystes on-chain et les forces de l'ordre pour comprendre ce qui s'est passé et comment nous pouvons éviter que cela ne se reproduise. Un sincère merci à @zeroshadow_io, @SEAL_Org, @RecoverisTeam et @fearsoff pour leur réponse rapide et leur soutien tout au long de cette épreuve. Qu'en est-il de vos données Sur la base de notre enquête et de nos journaux, nous n'avons pas de raison de penser que les données des clients étaient la cible de cette violation. Il n'y a aucune preuve qu'ils aient extrait notre base de données entière, seulement que les attaquants ont exécuté un nombre limité de requêtes cohérentes avec un sondage pour comprendre ce qu'il y avait à voler, y compris la cryptomonnaie et l'inventaire des cartes-cadeaux Bitrefill. Bitrefill a été conçu pour stocker très peu de données personnelles. Nous sommes un magasin, pas un fournisseur de services crypto. Nous ne nécessitons pas de KYC obligatoire. Lorsque un client choisit de vérifier son compte - par exemple, pour accéder à des niveaux d'achat plus élevés ou à certains produits - ces données sont conservées exclusivement avec notre fournisseur KYC externe, sans sauvegardes dans notre système. Cependant, sur la base des journaux de la base de données, nous savons qu'un sous-ensemble de dossiers d'achat a été accédé et nous voulons être transparents à ce sujet. Environ 18 500 dossiers d'achat ont été accédés par les attaquants. Ces dossiers contenaient des informations limitées sur les clients, telles que des adresses e-mail, des adresses de paiement crypto et des métadonnées, y compris l'adresse IP. Pour environ 1 000 achats, des produits spécifiques exigeaient que les clients fournissent un nom. Cette information est cryptée dans notre base de données. Cependant, puisque les attaquants ont peut-être eu accès aux clés de cryptage, nous considérons ces données comme potentiellement accessibles. Les clients de cette catégorie ont déjà été notifiés directement par e-mail. À ce stade, sur la base des informations actuellement disponibles, nous ne croyons pas que les clients aient besoin de prendre des mesures spécifiques. Par précaution, nous recommandons de rester prudent face à toute communication inattendue liée à Bitrefill ou à la crypto. Si cette évaluation change, nous informerons bien sûr immédiatement les personnes concernées. Ce que nous faisons Nous avons déjà considérablement amélioré nos pratiques de cybersécurité, mais nous promettons de continuer à tirer des enseignements de cette expérience pour nous assurer que les soldes et les données des utilisateurs et de l'entreprise restent au maximum en sécurité. Plus précisément, nous : ...