Relatório de incidente de 1 de março No dia 1 de março de 2026, a Bitrefill foi alvo de um ciberataque. Com base nos indicadores observados durante a investigação - incluindo o modus operandi, o malware utilizado, rastreamento on-chain e endereços de IP + e-mails reutilizados (!) - encontramos muitas semelhanças entre este ataque e ciberataques anteriores do grupo DPRK Lazarus / Bluenoroff contra outras empresas nas indústrias de criptomoedas. O acesso inicial originou-se através de um laptop de funcionário comprometido, do qual uma credencial legada foi exfiltrada. Essa credencial forneceu acesso a um instantâneo contendo segredos de produção. A partir daí, os atacantes conseguiram escalar seu acesso à nossa infraestrutura mais ampla, incluindo partes do nosso banco de dados e certas carteiras de criptomoedas. Detectamos o incidente pela primeira vez após notar padrões de compra suspeitos com certos fornecedores. Percebemos que nosso estoque de cartões-presente e linhas de fornecimento estavam sendo explorados. Ao mesmo tempo, encontramos algumas de nossas carteiras quentes sendo drenadas e fundos transferidos para carteiras controladas pelos atacantes. No momento em que identificamos a violação, desligamos todos os nossos sistemas como parte de nossa resposta de contenção. A Bitrefill opera um negócio de e-commerce global com dezenas de fornecedores, milhares de produtos e múltiplos métodos de pagamento em muitos países. Desligar tudo isso com segurança e trazê-lo de volta online não é trivial. Desde o incidente, nossa equipe tem trabalhado em estreita colaboração com os principais pesquisadores de segurança da indústria, especialistas em resposta a incidentes, analistas on-chain e autoridades policiais para entender o que aconteceu e como podemos evitar que isso aconteça novamente. Um sincero agradecimento a @zeroshadow_io, @SEAL_Org, @RecoverisTeam e @fearsoff pela rápida resposta e apoio durante toda essa situação. E os seus dados? Com base em nossa investigação e nossos registros, não temos motivos para pensar que os dados dos clientes foram o alvo desta violação. Não há evidências de que eles tenham extraído nosso banco de dados completo, apenas que os atacantes realizaram um número limitado de consultas consistentes com sondagens para entender o que havia para roubar, incluindo criptomoedas e o inventário de cartões-presente da Bitrefill. A Bitrefill foi projetada para armazenar muito poucos dados pessoais. Somos uma loja, não um provedor de serviços de criptomoedas. Não exigimos KYC obrigatório. Quando um cliente opta por verificar sua conta - por exemplo, para acessar níveis de compra mais altos ou certos produtos - esses dados são mantidos exclusivamente com nosso provedor externo de KYC, sem backups em nosso sistema. Ainda assim, com base nos registros do banco de dados, sabemos que um subconjunto de registros de compra foi acessado e queremos ser transparentes sobre isso. Cerca de 18.500 registros de compra foram acessados pelos atacantes. Esses registros continham informações limitadas dos clientes, como endereços de e-mail, endereço de pagamento em criptomoeda e metadados, incluindo endereço de IP. Para aproximadamente 1.000 compras, produtos específicos exigiam que os clientes fornecessem um nome. Essa informação está criptografada em nosso banco de dados. No entanto, como os atacantes podem ter obtido acesso às chaves de criptografia, estamos tratando esses dados como potencialmente acessados. Clientes nessa categoria já foram notificados diretamente por e-mail. Neste momento, com base nas informações atualmente disponíveis, não acreditamos que os clientes precisem tomar ações específicas. Como precaução, recomendamos que permaneçam cautelosos com quaisquer comunicações inesperadas relacionadas à Bitrefill ou criptomoedas. Se essa avaliação mudar, informaremos imediatamente os afetados. O que estamos fazendo Já melhoramos significativamente nossas práticas de cibersegurança, mas prometemos continuar a aprender com essa experiência para garantir que os saldos e dados dos usuários e da empresa permaneçam maximamente seguros. Especificamente, estamos: ...