Incidentrapport från 1 mars Den 1 mars 2026 var Bitrefill måltavla för en cyberattack. Baserat på indikatorer som observerats under utredningen – inklusive modus operandi, den skadliga koden som används, on-chain-spårning och återanvända IP + e-postadresser (!) – finner vi många likheter mellan denna attack och tidigare cyberattacker av DPRK Lazarus / Bluenoroff-gruppen mot andra företag inom kryptoindustrin. Den initiala åtkomsten kom från en komprometterad anställds laptop, från vilken en äldre legitimation exfiltrerades. Den legitimationen gav tillgång till en snapshot som innehöll produktionshemligheter. Därifrån kunde angriparna eskalera sin åtkomst till vår bredare infrastruktur, inklusive delar av vår databas och vissa kryptoplånböcker. Vi upptäckte först incidenten efter att ha upptäckt misstänkta köpmönster hos vissa leverantörer. Vi insåg att vårt lager av presentkort och leveranslinjer utnyttjades. Samtidigt upptäckte vi att några av våra hot wallets tömdes och pengar överfördes till angriparkontrollerade plånböcker. I samma ögonblick som vi identifierade intrånget stängde vi av alla våra system som en del av vår inneslutningsinsats. Bitrefill driver en global e-handelsverksamhet med dussintals leverantörer, tusentals produkter och flera betalningsmetoder i många länder. Att säkert stänga av allt detta och ta tillbaka dem är inte enkelt. Sedan incidenten har vårt team arbetat nära topp inom branschens säkerhetsexperter, incidenthanteringsspecialister, on-chain-analytiker och brottsbekämpande myndigheter för att förstå vad som hände och hur vi kan förhindra att det händer igen. Ett uppriktigt tack till @zeroshadow_io, @SEAL_Org, @RecoverisTeam och @fearsoff för deras snabba respons och stöd under denna prövning. Hur är det med dina data Baserat på vår utredning och våra loggar har vi ingen anledning att tro att kunddata var målet för detta intrång. Det finns inga bevis för att de extraherade hela vår databas, bara att angriparna körde ett begränsat antal sökningar som var förenliga med att undersöka vad som fanns att stjäla, inklusive kryptovaluta och Bitrefill-presentkortslager. Bitrefill var utformad för att lagra mycket lite personlig data. Vi är en butik, inte en kryptotjänsteleverantör. Vi kräver inte obligatorisk KYC. När en kund väljer att verifiera sitt konto – t.ex. för att få tillgång till högre inköpsnivåer eller vissa produkter – sparas den informationen exklusivt hos vår externa KYC-leverantör, utan några säkerhetskopior i vårt system. Ändå vet vi, baserat på databasloggar, att en delmängd av köpregistren har nåts och vi vill vara transparenta kring det. Omkring 18 500 inköpsregister fick tillgång till av angriparna. Dessa poster innehöll begränsad kundinformation, såsom e-postadresser, kryptobetalningsadresser och metadata inklusive IP-adress. För cirka 1 000 köp krävde specifika produkter att kunderna angav ett namn. Den informationen är krypterad i vår databas. Men eftersom angriparna kan ha fått tillgång till krypteringsnycklarna, behandlar vi denna data som potentiellt åtkomen. Kunder i denna kategori har redan blivit informerade direkt via e-post. För närvarande, baserat på den information som finns tillgänglig, anser vi inte att kunderna behöver vidta specifika åtgärder. Som försiktighetsåtgärd rekommenderar vi att man är försiktig med oväntade kommunikationer relaterade till Bitrefill eller krypto. Om denna bedömning ändras kommer vi naturligtvis omedelbart att informera de drabbade. Vad vi gör Vi har redan förbättrat våra cybersäkerhetsrutiner avsevärt, men lovar att fortsätta dra lärdomar från denna erfarenhet för att säkerställa att användar- och företagsbalanser samt data förblir maximalt säkra. Specifikt är vi: ...