Incidentrapport van 1 maart Op 1 maart 2026 was Bitrefill het doelwit van een cyberaanval. Op basis van indicatoren die tijdens het onderzoek zijn waargenomen - waaronder de modus operandi, de gebruikte malware, on-chain tracering en hergebruikte IP- + e-mailadressen (!) - vinden we veel overeenkomsten tussen deze aanval en eerdere cyberaanvallen door de DPRK Lazarus / Bluenoroff-groep tegen andere bedrijven in de crypto-industrie. De eerste toegang kwam via een gecompromitteerde laptop van een werknemer, waarvan een verouderde inloggegevens zijn geëxfiltreerd. Die inloggegevens gaven toegang tot een snapshot met productiegeheimen. Van daaruit konden de aanvallers hun toegang uitbreiden naar onze bredere infrastructuur, inclusief delen van onze database en bepaalde cryptocurrency-portemonnees. We hebben het incident voor het eerst gedetecteerd nadat we verdachte aankooppatronen bij bepaalde leveranciers opmerkte. We realiseerden ons dat onze voorraad en toeleveringslijnen voor cadeaubonnen werden geëxploiteerd. Tegelijkertijd ontdekten we dat enkele van onze hot wallets werden leeggehaald en dat fondsen werden overgemaakt naar portemonnees die door de aanvallers werden gecontroleerd. Op het moment dat we de inbreuk identificeerden, hebben we al onze systemen offline gehaald als onderdeel van onze containment-reactie. Bitrefill exploiteert een wereldwijde e-commerce onderneming met tientallen leveranciers, duizenden producten en meerdere betaalmethoden in veel landen. Het veilig uitschakelen van al deze dingen en ze weer online brengen is niet triviaal. Sinds het incident werkt ons team nauw samen met top beveiligingsonderzoekers uit de industrie, specialisten in incidentrespons, on-chain analisten en wetshandhaving om te begrijpen wat er is gebeurd en hoe we kunnen voorkomen dat het opnieuw gebeurt. Een oprechte dank aan @zeroshadow_io, @SEAL_Org, @RecoverisTeam en @fearsoff voor hun snelle reactie en ondersteuning gedurende deze beproeving. Wat betreft uw gegevens Op basis van ons onderzoek en onze logs hebben we geen reden om te denken dat klantgegevens het doelwit van deze inbreuk waren. Er is geen bewijs dat ze onze volledige database hebben geëxtraheerd, alleen dat de aanvallers een beperkt aantal queries hebben uitgevoerd die consistent zijn met het verkennen om te begrijpen wat er te stelen viel, inclusief cryptocurrency en de voorraad cadeaubonnen van Bitrefill. Bitrefill is ontworpen om zeer weinig persoonlijke gegevens op te slaan. We zijn een winkel, geen crypto-serviceprovider. We vereisen geen verplichte KYC. Wanneer een klant ervoor kiest om hun account te verifiëren - bijvoorbeeld om toegang te krijgen tot hogere aankoopniveaus of bepaalde producten - worden die gegevens uitsluitend bewaard bij onze externe KYC-provider, zonder back-ups in ons systeem. Toch weten we op basis van database logs dat een subset van aankooprecords is benaderd en we willen daar transparant over zijn. Ongeveer 18.500 aankooprecords zijn door de aanvallers benaderd. Die records bevatten beperkte klantinformatie, zoals e-mailadressen, crypto-betaaladres en metadata, waaronder IP-adres. Voor ongeveer 1.000 aankopen vereisten specifieke producten dat klanten een naam opgaven. Die informatie is versleuteld in onze database. Echter, aangezien de aanvallers mogelijk toegang hebben gekregen tot de versleutelingssleutels, behandelen we deze gegevens als mogelijk benaderd. Klanten in deze categorie zijn al rechtstreeks per e-mail op de hoogte gesteld. Op dit moment, op basis van de momenteel beschikbare informatie, geloven we niet dat klanten specifieke actie hoeven te ondernemen. Als voorzorgsmaatregel raden we aan om voorzichtig te zijn met onverwachte communicatie met betrekking tot Bitrefill of crypto. Als deze beoordeling verandert, zullen we natuurlijk onmiddellijk degenen die getroffen zijn informeren. Wat we doen We hebben onze cyberbeveiligingspraktijken al aanzienlijk verbeterd, maar beloven te blijven leren van deze ervaring om ervoor te zorgen dat gebruikers- en bedrijfsbalansen en gegevens maximaal veilig blijven. Specifiek zijn we: ...