Звіт про інцидент від 1 березня 1 березня 2026 року Bitrefill став мішенню кібератаки. Виходячи з індикаторів, виявлених під час розслідування — включно з modus operandi, використаним шкідливим ПЗ, відстеженням у ланцюгу та повторно використаними IP-+ електронними адресами (!) — ми знаходимо багато спільного між цією атакою та попередніми кібератаками групи КНДР Lazarus / Bluenoroff на інші компанії криптоіндустрії. Початковий доступ здійснювався через скомпрометований ноутбук співробітника, з якого було вилучено застарілі облікові дані. Цей документ давав доступ до знімка з виробничими таємницями. Звідти зловмисники змогли розширити свій доступ до нашої ширшої інфраструктури, включаючи частини нашої бази даних і певні криптовалютні гаманці. Ми вперше виявили інцидент після того, як помітили підозрілі моделі закупівель у певних постачальників. Ми зрозуміли, що наші запаси подарункових карток і лінії постачання експлуатують. Водночас ми виявили, що деякі наші гарячі гаманці були спустошені, а кошти переведені на гаманці, контрольовані зловмисниками. Щойно ми виявили прорив, ми вивели всі наші системи з мережі в рамках реагування на стримування. Bitrefill керує глобальним бізнесом електронної комерції з десятками постачальників, тисячами продуктів і численними способами оплати у багатьох країнах. Безпечне вимкнення всіх цих пристроїв і повернення до роботи — це зовсім не просто. Після інциденту наша команда тісно співпрацює з провідними галузевими дослідниками безпеки, спеціалістами з реагування на інциденти, аналітиками онлайн-мережі та правоохоронними органами, щоб зрозуміти, що сталося і як запобігти цьому. Щира подяка @zeroshadow_io, @SEAL_Org, @RecoverisTeam і @fearsoff за їхню швидку реакцію та підтримку протягом усього цього випробування. А як щодо ваших даних Виходячи з нашого розслідування та наших журналів, у нас немає підстав вважати, що дані клієнтів стали мішенню цього витоку. Немає жодних доказів, що вони витягли всю нашу базу даних, лише те, що зловмисники виконали обмежену кількість запитів, що відповідають розслідуванню, щоб зрозуміти, що можна було вкрасти, включно з криптовалютою та інвентарем подарункових карток Bitrefill. Bitrefill був розроблений для зберігання дуже малої кількості особистих даних. Ми — магазин, а не постачальник криптосервісів. Ми не вимагаємо обов'язкового KYC. Коли клієнт вирішує підтвердити свій акаунт — наприклад, щоб отримати доступ до вищих рівнів покупок або певних продуктів — ці дані зберігаються виключно у зовнішнього KYC-провайдера, без резервних копій у нашій системі. Проте, базуючись на журналах бази даних, ми знаємо, що було отримано доступ до частини записів покупок, і хочемо бути прозорими щодо цього. Зловмисники отримали доступ до близько 18 500 записів про покупки. Ці записи містили обмежену інформацію про клієнтів, таку як електронні адреси, криптоплатіжна адреса та метадані, включаючи IP-адресу. Для приблизно 1 000 покупок конкретні товари вимагали від клієнтів вказати ім'я. Ця інформація зашифрована в нашій базі даних. Однак, оскільки зловмисники могли отримати доступ до ключів шифрування, ми розглядаємо ці дані як потенційно доступні. Клієнти цієї категорії вже отримали повідомлення безпосередньо електронною поштою. На даний момент, виходячи з наявної інформації, ми не вважаємо, що клієнтам потрібно вживати конкретних заходів. На випадок безпеки ми рекомендуємо бути обережними з будь-якими несподіваними повідомленнями, пов'язаними з Bitrefill або криптовалютою. Якщо ця оцінка зміниться, ми, звичайно, негайно повідомимо тих, хто постраждає. Те, що ми робимо Ми вже суттєво вдосконалили наші практики кібербезпеки, але обіцяємо й надалі використовувати висновки з цього досвіду, щоб забезпечити максимальну безпеку балансу користувачів і компаній та даних. Зокрема, ми: ...