3月1日事件報告 2026年3月1日、Bitrefillはサイバー攻撃の標的となりました。調査中に観察された指標、例えば手口、使用されたマルウェア、オンチェーン追跡、再利用されたIP+メールアドレス(!)など、この攻撃とDPRK Lazarus/Bluenoroffグループによる過去のサイバー攻撃と多くの類似点が見つかります。 最初のアクセスは、侵害された従業員ノートパソコンから始まり、そこからレガシー認証情報が漏洩されました。その認証情報は、本番環境の秘密を含むスナップショットへのアクセスを提供しました。そこから攻撃者は、データベースの一部や特定の暗号通貨ウォレットを含む広範なインフラへのアクセスを拡大しました。 私たちは、特定のサプライヤーに不審な購買パターンが見られたことで、このインシデントを最初に発見しました。私たちは、ギフトカードの在庫や供給ラインが搾取されていることに気づきました。同時に、私たちのホットウォレットの一部が抜け出し、資金が攻撃者管理のウォレットに移されているのを発見しました。侵害を特定した瞬間、封じ込め対応の一環として全システムをオフラインにしました。 Bitrefillは、多数のサプライヤー、数千の商品、複数の支払い方法を多国にわたって展開するグローバルなeコマース事業を展開しています。これらすべてを安全にオフにして再起動するのは簡単ではありません。 このインシデント以降、私たちのチームは業界のトップクラスのセキュリティ研究者、インシデント対応スペシャリスト、オンチェーンアナリスト、法執行機関と密接に連携し、何が起きたのかを理解し、再発を防ぐ方法を模索しています。この試練を通じて迅速な対応と支援をしてくださった@zeroshadow_io、@SEAL_Org、@RecoverisTeam、@fearsoffに心から感謝申し上げます。 あなたのデータはどうでしょうか 調査とログに基づき、顧客データがこの侵害の対象であったとは考えにくいです。全データベースを抽出した証拠はありませんが、攻撃者は盗むものを探るために限られた数のクエリを実行し、暗号通貨やBitrefillのギフトカードの在庫などを把握しようとしました。 Bitrefillは個人情報をほとんど保存しないよう設計されていました。私たちはストアであり、暗号通貨サービスプロバイダーではありません。必須のKYCは必要ありません。お客様がアカウントの認証を選択した場合、例えばより高い購入階層や特定の商品にアクセスする場合、そのデータは外部のKYCプロバイダーにのみ保管され、システムにバックアップはありません。 それでも、データベースのログから購入記録の一部がアクセスされたことは分かっており、その点については透明性を保ちたいと考えています。 攻撃者たちは約18,500件の購入記録にアクセスしました。これらの記録には、メールアドレス、暗号通貨の支払い先住所、IPアドレスを含むメタデータなどの限定的な顧客情報が含まれていました。 約1,000件の購入では、特定の商品に対して顧客の名前の提供が必要でした。その情報はデータベースに暗号化されています。しかし、攻撃者が暗号鍵にアクセスした可能性があるため、このデータはアクセスされた可能性があるとみなしています。このカテゴリーの顧客にはすでにメールで直接通知されています。 現時点で入手可能な情報に基づき、お客様に具体的な対応を取る必要はないと考えています。念のため、Bitrefillや暗号通貨に関する予期せぬ連絡には注意を促します。この評価が変更された場合は、もちろん影響を受ける方々に直ちに通知します。 私たちがやっていること 私たちはすでにサイバーセキュリティの実践を大幅に改善していますが、この経験から学びを得続け、ユーザーと企業のバランスとデータの安全を最大限に保つことを誓います。具体的には、私たちは以下の通りです: ...