Отчет о инциденте 1 марта 1 марта 2026 года Bitrefill стал целью кибератаки. На основе индикаторов, наблюдаемых в ходе расследования - включая modus operandi, использованное вредоносное ПО, цепочку блоков и повторно используемые IP + адреса электронной почты (!) - мы находим много сходств между этой атакой и предыдущими кибератаками группы DPRK Lazarus / Bluenoroff против других компаний в криптоиндустрии. Первоначальный доступ был получен через скомпрометированный ноутбук сотрудника, с которого была эксфильтрована устаревшая учетная запись. Эта учетная запись предоставила доступ к снимку, содержащему производственные секреты. Оттуда злоумышленники смогли эскалировать свой доступ к нашей более широкой инфраструктуре, включая части нашей базы данных и определенные криптовалютные кошельки. Мы впервые обнаружили инцидент после того, как заметили подозрительные схемы покупок у определенных поставщиков. Мы поняли, что наш запас подарочных карт и цепочки поставок эксплуатируются. В то же время мы обнаружили, что некоторые из наших горячих кошельков опустошаются, а средства переводятся на кошельки, контролируемые злоумышленниками. В момент, когда мы идентифицировали утечку, мы отключили все наши системы в рамках нашей реакции на инцидент. Bitrefill управляет глобальным бизнесом электронной коммерции с десятками поставщиков, тысячами продуктов и несколькими способами оплаты в разных странах. Безопасное отключение всех этих вещей и их повторное включение - это не тривиальная задача. С момента инцидента наша команда тесно сотрудничает с ведущими исследователями безопасности в отрасли, специалистами по реагированию на инциденты, аналитиками цепочки блоков и правоохранительными органами, чтобы понять, что произошло и как мы можем предотвратить это в будущем. Искреннее спасибо @zeroshadow_io, @SEAL_Org, @RecoverisTeam и @fearsoff за их быструю реакцию и поддержку на протяжении этого испытания. Что насчет ваших данных На основе нашего расследования и наших журналов у нас нет оснований полагать, что данные клиентов были целью этой утечки. Нет доказательств того, что они извлекли нашу полную базу данных, только что злоумышленники выполняли ограниченное количество запросов, соответствующих пробам, чтобы понять, что можно украсть, включая криптовалюту и инвентарь подарочных карт Bitrefill. Bitrefill был разработан для хранения очень небольшого объема личных данных. Мы магазин, а не поставщик криптоуслуг. Мы не требуем обязательной KYC. Когда клиент решает подтвердить свою учетную запись - например, чтобы получить доступ к более высоким уровням покупок или определенным продуктам - эти данные хранятся исключительно у нашего внешнего поставщика KYC, без резервных копий в нашей системе. Тем не менее, на основе журналов базы данных мы знаем, что была получена часть записей о покупках, и мы хотим быть прозрачными в этом отношении. Злоумышленники получили доступ к примерно 18 500 записям о покупках. Эти записи содержали ограниченную информацию о клиентах, такую как адреса электронной почты, адреса крипто-платежей и метаданные, включая IP-адрес. Для примерно 1 000 покупок определенные продукты требовали от клиентов предоставить имя. Эта информация зашифрована в нашей базе данных. Однако, поскольку злоумышленники могли получить доступ к ключам шифрования, мы рассматриваем эти данные как потенциально доступные. Клиенты в этой категории уже были уведомлены напрямую по электронной почте. На данный момент, основываясь на информации, которая в настоящее время доступна, мы не считаем, что клиентам необходимо предпринимать какие-либо конкретные действия. В качестве меры предосторожности мы рекомендуем оставаться осторожными к любым неожиданным сообщениям, связанным с Bitrefill или криптовалютой. Если эта оценка изменится, мы, конечно, немедленно уведомим затронутых. Что мы делаем Мы уже значительно улучшили наши практики кибербезопасности, но обещаем продолжать извлекать уроки из этого опыта, чтобы гарантировать максимальную безопасность балансов и данных пользователей и компании. В частности, мы: ...