Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Один ноутбук – тысячи подарочных карт для Ким Чен Ына. Как хакеры из КНДР взломали криптосервис Bitrefill

leer en español

Bitrefill Северная Корея Lazarus кибератака подарочные карты
Один ноутбук – тысячи подарочных карт для Ким Чен Ына. Как хакеры из КНДР взломали криптосервис Bitrefill
Bitrefill Северная Корея Lazarus кибератака подарочные карты

Bitrefill подводит итоги взлома.

image

Атака на Bitrefill вышла далеко за пределы обычного сбоя — из системы начали исчезать деньги, а злоумышленники незаметно добрались до внутренней инфраструктуры и части данных пользователей

Инцидент произошёл 1 марта 2026 года. По характеру атаки, использованному вредоносному коду и другим следам, включая повторно использованные IP-адреса и адреса электронной почты, специалисты увидели сходство с операциями группировки Lazarus / Bluenoroff, связанной с Северной Кореей и известной атаками на криптовалютные компании.

Начальной точкой стал скомпрометированный ноутбук сотрудника. Через него злоумышленники получили устаревшие учётные данные, которые дали доступ к снимку системы с производственными секретами. После этого нападавшие расширили доступ к инфраструктуре, включая часть базы данных и некоторые криптовалютные кошельки.

О проблеме узнали не сразу. Команда заметила подозрительные покупки у поставщиков и быстро выяснила, что злоумышленники используют запасы подарочных карт. Одновременно начался вывод средств с горячих кошельков на подконтрольные адреса. После подтверждения взлома компания отключила все системы, чтобы остановить атаку.

Bitrefill работает как международная торговая площадка с десятками поставщиков, тысячами товаров и разными способами оплаты, поэтому полная остановка и восстановление заняли время. Сейчас большая часть сервисов уже вернулась к нормальной работе.

Проверка показала, что основная цель злоумышленников не заключалась в краже пользовательских данных. Полную базу данных никто не выгружал. Однако злоумышленники выполняли отдельные запросы, чтобы понять, какие активы доступны, включая криптовалюту и запасы подарочных карт.

Тем не менее часть данных всё же оказалась затронута. Злоумышленники получили доступ примерно к 18 500 записям о покупках. В этих записях содержались адреса электронной почты, криптовалютные адреса и технические данные, включая IP-адреса.

Ещё около 1 000 покупок содержали имена пользователей, так как для некоторых товаров требовалось указать имя. Такие данные хранились в зашифрованном виде, но из-за возможного доступа к ключам шифрования компания считает, что злоумышленники могли ознакомиться и с этой информацией. Всех затронутых пользователей уже уведомили по электронной почте.

В компании подчеркнули, что не хранят большие объёмы персональных данных и не требуют обязательной верификации личности. Если пользователь проходит проверку, данные хранятся у внешнего провайдера и не дублируются внутри системы Bitrefill.

Пока компания не видит причин для срочных действий со стороны пользователей, но рекомендует внимательно относиться к любым подозрительным сообщениям, связанным с сервисом или криптовалютой.

После атаки Bitrefill усилила меры защиты, пересматривает доступы внутри инфраструктуры, улучшает мониторинг и проверяет системы на уязвимости вместе со сторонними специалистами. Несмотря на ущерб, компания заявила, что сохранила финансовую устойчивость и покроет потери за счёт собственных средств. Продажи и работа сервисов уже вернулись к обычному уровню.