Bitrefill heeft bekendgemaakt dat het op 1 maart het slachtoffer is geworden van een cyberaanval die in verband wordt gebracht met Noord-Koreaanse hackersgroepen, waarbij bedrijfsmiddelen zijn ontvreemd en gebruikersgegevens in beperkte mate zijn blootgesteld.
Bitrefill reageert op aanval in verband met Noord-Korea en bevestigt dat er slechts een beperkte hoeveelheid gegevens is gelekt
GESCHREVEN DOOR
DELEN
Bitrefill zegt dat het beveiligingslek waarschijnlijk verband hield met de Lazarus-groep
Het platform voor cryptobetalingen en cadeaubonnen maakte het incident bekend in een gedetailleerd rapport, waarin het wees op overeenkomsten met eerdere operaties die worden toegeschreven aan de Noord-Koreaanse Lazarus- en Bluenoroff-groepen, op basis van malware, hergebruik van infrastructuur en on-chain-tracering.
Volgens de verklaring van Bitrefill van dinsdag begon het beveiligingslek met een gecompromitteerde laptop van een medewerker, waardoor aanvallers oude inloggegevens konden achterhalen die gekoppeld waren aan productiesystemen. Die toegang maakte escalatie naar een bredere infrastructuur mogelijk, waaronder delen van de database van het bedrijf en bepaalde hot wallets voor cryptovaluta.
Het bedrijf zei dat het de inbraak ontdekte na het identificeren van verdachte aankooppatronen en onregelmatigheden in de activiteiten van leveranciers. Onderzoekers bevestigden later dat aanvallers misbruik maakten van de voorraadsystemen voor cadeaubonnen, terwijl ze tegelijkertijd geld uit hot wallets overmaakten naar adressen die onder hun controle stonden.
Bitrefill haalde zijn systemen onmiddellijk offline na bevestiging van het beveiligingslek en noemde de uitschakeling een noodzakelijke stap om de aanval in te dammen binnen zijn wereldwijde e-commerceactiviteiten, die zich uitstrekken over meerdere leveranciers, betalingskanalen en regio's.
Het bedrijf zei dat er toegang is verkregen tot ongeveer 18.500 aankooprecords, waaronder beperkte gebruikersgegevens zoals e-mailadressen, crypto-betalingsadressen en IP-metadata. Ongeveer 1.000 records die klantnamen bevatten – versleuteld in de database – worden behandeld als mogelijk blootgesteld vanwege mogelijke toegang tot versleutelingssleutels, waarbij de getroffen gebruikers op de hoogte zijn gesteld.
Bitrefill benadrukte dat het minimale hoeveelheden persoonsgegevens opslaat en geen verplichte 'ken-uw-klant'-verificatie vereist, waarbij het opmerkte dat alle identiteitsgegevens door externe providers worden verwerkt in plaats van intern te worden opgeslagen. Het bedrijf voegde eraan toe dat er geen bewijs is dat de volledige database is buitgemaakt.
Het bedrijf zei dat het samenwerkt met cyberbeveiligingsbedrijven, onchain-analisten en wetshandhavingsinstanties, terwijl het de interne controles versterkt, de monitoringsystemen uitbreidt en aanvullende beveiligingsaudits uitvoert. Bitrefill zei dat de activiteiten grotendeels weer normaal zijn en dat de verliezen zullen worden gedekt met operationeel kapitaal.
Veelgestelde vragen 🔎
- Wat is er gebeurd bij de hack op Bitrefill?
Bitrefill werd op 1 maart getroffen door een cyberaanval die leidde tot het leeghalen van fondsen en beperkte toegang tot aankoopgegevens van klanten. - Zijn er klantgegevens gestolen?
Er is toegang verkregen tot ongeveer 18.500 records, waaronder e-mailadressen en crypto-adressen, maar er is geen volledige exfiltratie van de database bevestigd. - Wie wordt er achter de aanval verdacht?
Bitrefill zei dat er aanwijzingen zijn die wijzen op banden met de Noord-Koreaanse hackgroepen Lazarus of Bluenoroff. - Wat moeten gebruikers nu doen?
Het bedrijf adviseert alert te blijven op verdachte berichten, maar zegt dat er op dit moment geen onmiddellijke actie nodig is.
