Bitrefill a déclaré avoir été victime, le 1er mars, d'une cyberattaque liée à des groupes de pirates nord-coréens, qui a entraîné le détournement de fonds de l'entreprise et une exposition limitée des données des utilisateurs.
Bitrefill réagit à une attaque liée à la Corée du Nord et confirme une fuite de données limitée
ÉCRIT PAR
PARTAGER
Bitrefill affirme que la faille de sécurité était probablement liée au groupe Lazarus
La plateforme de paiements cryptés et de cartes-cadeaux a révélé l'incident dans un rapport détaillé, citant des similitudes avec des opérations passées attribuées aux groupes nord-coréens Lazarus et Bluenoroff, sur la base des logiciels malveillants, de la réutilisation d'infrastructures et du traçage sur la blockchain.
Selon la déclaration de Bitrefill publiée mardi, la faille a commencé par la compromission de l'ordinateur portable d'un employé, permettant aux attaquants d'extraire des identifiants hérités liés aux systèmes de production. Cet accès a permis une escalade vers une infrastructure plus large, incluant des parties de la base de données de l'entreprise et certains portefeuilles chauds de cryptomonnaies.
L'entreprise a déclaré avoir détecté l'intrusion après avoir identifié des schémas d'achat suspects et des irrégularités dans l'activité des fournisseurs. Les enquêteurs ont par la suite confirmé que les attaquants avaient exploité les systèmes de gestion des stocks de cartes-cadeaux tout en transférant simultanément des fonds depuis les portefeuilles chauds vers des adresses sous leur contrôle. Bitrefill a mis ses systèmes hors ligne immédiatement après avoir confirmé la violation, qualifiant cette mise à l'arrêt de mesure nécessaire pour contenir l'attaque à l'échelle de ses opérations mondiales de commerce électronique, qui couvrent de multiples fournisseurs, canaux de paiement et régions.
La société a indiqué qu'environ 18 500 enregistrements d'achat avaient été consultés, y compris des données utilisateur limitées telles que des adresses e-mail, des adresses de paiement en cryptomonnaie et des métadonnées IP. Environ 1 000 enregistrements contenant les noms des clients — cryptés dans la base de données — sont considérés comme potentiellement exposés en raison d'un accès possible aux clés de cryptage, et les utilisateurs concernés ont été informés.
Bitrefill a souligné qu'elle stocke un minimum de données personnelles et n'exige pas de vérification obligatoire « Know Your Customer » (KYC), précisant que toutes les données d'identité sont gérées par des prestataires externes plutôt que stockées en interne. La société a ajouté qu'il n'y avait aucune preuve que l'intégralité de sa base de données ait été exfiltrée.
La société a déclaré qu'elle collaborait avec des entreprises de cybersécurité, des analystes on-chain et les forces de l'ordre, tout en renforçant ses contrôles internes, en développant ses systèmes de surveillance et en menant des audits de sécurité supplémentaires. Bitrefill a indiqué que ses opérations étaient en grande partie revenues à la normale et que les pertes seraient couvertes par le fonds de roulement.
FAQ 🔎
- Que s'est-il passé lors du piratage de Bitrefill ? Bitrefill a subi une cyberattaque le 1er mars qui a entraîné le détournement de fonds et un accès limité aux historiques d'achat des clients.
- Les données des clients ont-elles été volées ? Environ 18 500 enregistrements ont été consultés, notamment des adresses e-mail et des adresses de cryptomonnaies, mais aucune exfiltration complète de la base de données n'a été confirmée.
- Qui est soupçonné d'être à l'origine de l'attaque ? Bitrefill a déclaré que certains indices suggèrent un lien avec les groupes de hackers nord-coréens Lazarus ou Bluenoroff.
- Que doivent faire les utilisateurs à présent ? La société conseille de rester vigilant face aux messages suspects, mais précise qu'aucune mesure immédiate n'est requise pour le moment.
