Attacco informatico a Bitrefill
Bitrefill, una piattaforma che consente agli utenti di scambiare criptovalute per gift card e crediti per servizi telefonici, ha rivelato martedì di essere stata presa di mira in un attacco informatico avvenuto il 1° marzo. Secondo l’azienda, tutto è iniziato con il compromesso di un laptop di un dipendente, per poi espandersi a un’infrastruttura più ampia dopo che gli aggressori hanno esfiltrato una credenziale legacy legata a uno snapshot contenente segreti di produzione.
Dettagli dell’incidente
In un rapporto sull’incidente pubblicato su X, l’azienda ha dichiarato che gli aggressori sono passati dall’accesso iniziale a parti del suo database e a determinati portafogli di criptovalute, sfruttando anche l’inventario delle gift card e le linee di acquisto dei fornitori. Bitrefill ha affermato di aver rilevato la violazione dopo aver notato modelli di acquisto sospetti da parte dei fornitori. Una volta confermata, ha messo offline tutti i sistemi come parte delle misure di contenimento.
L’azienda aveva precedentemente comunicato il 1° marzo di avere a che fare con un “problema tecnico” e successivamente con un “problema di sicurezza“, momento in cui ha disattivato tutti i servizi. Martedì è stata la prima volta che Bitrefill ha fornito dettagli completi sull’attacco e sui potenziali responsabili.
Indagini e responsabilità
Bitrefill ha dichiarato che la sua indagine ha trovato molteplici indicatori simili a precedenti attacchi nel settore da parte dei gruppi di hacking sponsorizzati dallo stato nordcoreano, come Lazarus e Bluenoroff, inclusi modelli di malware, tracciamento on-chain e infrastrutture riutilizzate. L’azienda ha affermato di aver collaborato con i rispondenti agli incidenti, analisti on-chain e forze dell’ordine mentre l’indagine continua.
Impatto sui clienti
Sull’impatto sui clienti, Bitrefill ha dichiarato che i registri non mostrano prove di esfiltrazione completa del database, ma un sottoinsieme di record è stato accessibile. L’azienda ha affermato che circa 18.500 record di acquisto sono stati interessati, inclusi campi limitati come indirizzi email, indirizzi di pagamento in criptovaluta e metadati, tra cui indirizzi IP.
Per circa 1.000 acquisti che richiedevano nomi dei clienti, Bitrefill ha dichiarato che quei campi erano crittografati, ma li sta trattando come potenzialmente accessibili poiché gli aggressori potrebbero aver ottenuto le chiavi pertinenti. L’azienda ha affermato che gli utenti in quel sottoinsieme sono stati avvisati direttamente via email.
Misure di sicurezza e conclusioni
Bitrefill ha dichiarato di non richiedere KYC obbligatorio e di memorizzare le informazioni di verifica con un fornitore esterno, piuttosto che in backup interni. Sulla base delle attuali scoperte, l’azienda ha affermato di non credere che i clienti debbano intraprendere azioni specifiche, pur consigliando cautela riguardo a comunicazioni inaspettate relative a Bitrefill o alle criptovalute.
L’azienda ha dichiarato che la maggior parte delle operazioni è ora tornata alla normalità, inclusi pagamenti, stock e conti, e che le perdite saranno assorbite attraverso il capitale operativo. Bitrefill ha anche affermato di continuare le revisioni di sicurezza esterne e i test di penetrazione, stringendo i controlli di accesso interni e aggiornando la registrazione, il monitoraggio e l’automazione della risposta agli incidenti.
I gruppi di hacking nordcoreani sono stati collegati dalle autorità a molti furti di alto profilo nel settore delle criptovalute, incluso l’attacco all’exchange Bybit da 1,4 miliardi di dollari dello scorso anno e l’attacco da 622 milioni di dollari alla rete di gioco Ronin, legata al gioco crypto Axie Infinity nel 2022. Lo scorso anno, gli hacker legati alla Corea del Nord hanno rubato oltre 2 miliardi di dollari in criptovalute, secondo un rapporto di Chainalysis.
