Hendelsesrapport 1. mars Den 1. mars 2026 var Bitrefill mål for et cyberangrep. Basert på indikatorer observert under etterforskningen – inkludert modus operandi, brukt skadelig programvare, sporing på kjede og gjenbrukte IP + e-postadresser (!) – finner vi mange likheter mellom dette angrepet og tidligere cyberangrep fra DPRK Lazarus / Bluenoroff-gruppen mot andre selskaper i kryptobransjen. Den første tilgangen kom fra en kompromittert ansatt-laptop, hvorfra en gammel legitimasjon ble hentet. Den legitimasjonen ga tilgang til et øyeblikksbilde som inneholdt produksjonshemmeligheter. Derfra kunne angriperne eskalere tilgangen til vår bredere infrastruktur, inkludert deler av databasen vår og visse kryptovalutalommebøker. Vi oppdaget først hendelsen etter å ha lagt merke til mistenkelige kjøpsmønstre hos enkelte leverandører. Vi innså at gavekortlageret og forsyningslinjene våre ble utnyttet. Samtidig oppdaget vi at noen av våre hot wallets ble tappet og pengene ble overført til angriperkontrollerte lommebøker. I det øyeblikket vi identifiserte bruddet, tok vi alle systemene våre offline som en del av vår inneslutningsrespons. Bitrefill driver en global e-handelsvirksomhet med dusinvis av leverandører, tusenvis av produkter og flere betalingsmetoder i mange land. Å slå av alle disse tingene trygt og få dem tilbake på nett er ikke enkelt. Siden hendelsen har teamet vårt jobbet tett med ledende sikkerhetsforskere i bransjen, spesialister på hendelsesrespons, on-chain-analytikere og politiet for å forstå hva som skjedde og hvordan vi kan forhindre at det skjer igjen. En oppriktig takk til @zeroshadow_io, @SEAL_Org, @RecoverisTeam og @fearsoff for deres raske respons og støtte gjennom hele denne prøvelsen. Hva med dataene dine Basert på vår undersøkelse og loggene våre har vi ingen grunn til å tro at kundedata var målet for dette bruddet. Det finnes ingen bevis for at de hentet ut hele databasen vår, bare at angriperne kjørte et begrenset antall spørringer som var forenlige med å undersøke hva det var å stjele, inkludert kryptovaluta og Bitrefill-gavekortlager. Bitrefill var designet for å lagre svært lite personlig data. Vi er en butikk, ikke en kryptotjenesteleverandør. Vi krever ikke obligatorisk KYC. Når en kunde velger å verifisere kontoen sin – for eksempel for å få tilgang til høyere kjøpsnivåer eller visse produkter – lagres disse dataene eksklusivt hos vår eksterne KYC-leverandør, uten sikkerhetskopier i systemet vårt. Likevel, basert på databaselogger, vet vi at en delmengde av kjøpsregistrene ble aksessert, og vi ønsker å være åpne om det. Rundt 18 500 kjøpsregistre ble aksessert av angriperne. Disse registrene inneholdt begrenset kundeinformasjon, som e-postadresser, kryptobetalingsadresse og metadata inkludert IP-adresser. For omtrent 1 000 kjøp krevde spesifikke produkter at kundene oppga et navn. Den informasjonen er kryptert i databasen vår. Men siden angriperne kan ha fått tilgang til krypteringsnøklene, behandler vi disse dataene som potensielt aksessert. Kunder i denne kategorien har allerede blitt varslet direkte via e-post. På nåværende tidspunkt, basert på den tilgjengelige informasjonen, mener vi ikke at kundene trenger å ta spesifikke tiltak. Som en forholdsregel anbefaler vi å være forsiktig med uventede kommunikasjoner knyttet til Bitrefill eller krypto. Hvis denne vurderingen endres, vil vi selvfølgelig umiddelbart informere de berørte personene. Hva vi gjør Vi har allerede forbedret våre cybersikkerhetspraksiser betydelig, men lover å fortsette å hente lærdom fra denne erfaringen for å sikre at bruker- og bedriftsbalanser og data forblir maksimalt trygge. Spesifikt er vi: ...