Ataque à Bitrefill

[sabotag3x]

Criando um tópico próprio porque vocês mostraram interesse no assunto..

Hoje eles publicaram mais uma atualização.. não deram grandes detalhes, mas falaram em um grande ataque vindo da Coreia do Norte:

A Bitrefill foi alvo de uma invasão por um grupo de hackers de alto perfil. Assim que nossa equipe percebeu que um ataque estava em andamento, tiramos o site e o aplicativo do ar e, desde então, estamos trabalhando 24 horas por dia para colocar o site de volta no ar de forma segura, o que estamos fazendo agora. Recebemos ajuda de especialistas de ponta em cibersegurança, análise on-chain e autoridades policiais para entender o que aconteceu e como. Temos uma visão bastante clara disso (olá Coreia do Norte) e vamos publicar mais informações sobre o ocorrido assim que tivermos tempo para organizar tudo por escrito.

Resumo: cartões-presente dos usuários, créditos da loja e informações de KYC não foram afetados. A Bitrefill sofreu o impacto, nossos clientes não.

Parte do site já voltou a funcionar.. pelo visto eles perderam dinheiro, mas não está claro qual foi o alvo (cartões ou carteiras)


Galera manteve o humor nos comentários:



 

[joker_josue]

Interessante. Eles chegaram a enviar algum comunicado via email?
Julgo que não, porque eu tenho o cartão deles e não recebi nenhuma notificação sobre o tema.

Parte do site já voltou a funcionar.. pelo visto eles perderam dinheiro, mas não está claro qual foi o alvo (cartões ou carteiras)

Quem perdeu? Eles ou os hackers?

Por acaso o plafon que tinha em cartão, esta ok.
Alias, segundo o FAQ relacionado ao caso, os cartões não foram afetados:

Sou residente na UE e possuo um cartão Bitrefill. Ainda posso usá-lo?
Sim. O cartão Bitrefill não foi afetado e funcionou normalmente durante todo o período. Os titulares de cartões da UE podem continuar usando seus cartões Bitrefill normalmente. Você também pode consultar seu saldo e histórico do cartão novamente no site e no aplicativo.

De facto, tendo em conta que agora tem um sistema de cartão, onde acredito que muitos podem colocar lá boas quantias para usar em compras, tornaram-se um alvo de ataque.

Mas, pelo menos parece que conseguiram mitigar tudo a tempo, e minimizar os estragos.

[sabotag3x]

Interessante. Eles chegaram a enviar algum comunicado via email?
Julgo que não, porque eu tenho o cartão deles e não recebi nenhuma notificação sobre o tema.

Parte do site já voltou a funcionar.. pelo visto eles perderam dinheiro, mas não está claro qual foi o alvo (cartões ou carteiras)

Quem perdeu? Eles ou os hackers?

Também não recebi nada, só percebi que estava fora porque tentei acessar o site..

Quem perdeu foi a Bitrefill..

Por hora o site mostra que referrals/widget/API estão desativados.. dá pra imaginar que exploraram alguma vulnerabilidade em algum desses lugares.

[rdluffy]

Ah Coréia do Norte e sua democracia vibrante
Qualquer hack vindo de lá fica praticamente impossível punir devido ao sistema deles

Muito se sonda ainda que é o próprio governo (o que deve ser verdade pelo acesso à internet) que coordena os ataques para captar dinheiro

Tomara que o prejuízo não tenha sido grande, a Bitrefill é uma empresa séria e muito boa para os usuários cripto, seria uma perda lamentável para todos perder essa forma de converter cripto para o mundo real

[alexrossi]

Ah Coréia do Norte e sua democracia vibrante
Qualquer hack vindo de lá fica praticamente impossível punir devido ao sistema deles

Será que o Trump vai fazer algo a-la Venezuela pra la? Antigamente ele era bastante amigo do Kim, não sei se as coisas com esses hacks repetidos podem mudar

[Pumared]

Interessante. Eles chegaram a enviar algum comunicado via email?
Julgo que não, porque eu tenho o cartão deles e não recebi nenhuma notificação sobre o tema.

Parte do site já voltou a funcionar.. pelo visto eles perderam dinheiro, mas não está claro qual foi o alvo (cartões ou carteiras)

Quem perdeu? Eles ou os hackers?

Por acaso o plafon que tinha em cartão, esta ok.
Alias, segundo o FAQ relacionado ao caso, os cartões não foram afetados:

Sou residente na UE e possuo um cartão Bitrefill. Ainda posso usá-lo?
Sim. O cartão Bitrefill não foi afetado e funcionou normalmente durante todo o período. Os titulares de cartões da UE podem continuar usando seus cartões Bitrefill normalmente. Você também pode consultar seu saldo e histórico do cartão novamente no site e no aplicativo.

De facto, tendo em conta que agora tem um sistema de cartão, onde acredito que muitos podem colocar lá boas quantias para usar em compras, tornaram-se um alvo de ataque.

Mas, pelo menos parece que conseguiram mitigar tudo a tempo, e minimizar os estragos.

Acredito que os cartões não foram afetados pois devem rodar em uma plataforma terceira, como uma VISA, MASTERCARD etc da vida. Por isso que a operação não deve ter sido afetada, esses ataques para grandes bandeiras devem ser algo bem comum. Só as operações do site foram afetadas pelo que entendi como a API etc.

[mikel_012]

Acredito que os cartões não foram afetados pois devem rodar em uma plataforma terceira, como uma VISA, MASTERCARD etc da vida. Por isso que a operação não deve ter sido afetada, esses ataques para grandes bandeiras devem ser algo bem comum. Só as operações do site foram afetadas pelo que entendi como a API etc.

Se o cartão tem saldo ele deve continuar funcionando até a data de validade

O problema nesse caso foi a geração de novos cartões presente por que podem ter conseguido gerar cartões sem pagamento

O mais importante foi que falaram que eles que perderam dinheiro e não seus clientes. É o custo de fazer negocios mas se é uma empresa séria eles continuam sem problema

[joker_josue]

O problema nesse caso foi a geração de novos cartões presente por que podem ter conseguido gerar cartões sem pagamento

O mais importante foi que falaram que eles que perderam dinheiro e não seus clientes. É o custo de fazer negocios mas se é uma empresa séria eles continuam sem problema

Pois, porque os cartões foram gerados sem serem pagos, e os bandidos conseguiram usar os cartões antes de eles conseguirem cancelar os mesmos, ficaram a perder dinheiro. Visto que estiveram a mesma de pagar a empresa dos serviços.

Entretanto parece que já esta tudo normalizado.

O curioso, é que reparei agora que eles tem um programa para recompensar quem encontra vulnerabilidades: https://www.bitrefill.com/vulnerability-disclosure-policy/
Não sei se tinham antes, mas é uma boa medida.

[sabotag3x]

Finalmente publicaram o post mortem..

TLDR: invadiram o computador de um funcionário e então roubaram gift cards e até mesmo drenaram umas hot wallets..

Também falam sobre um pequeno vazamento de dados.

Relatório do incidente de 1º de março

Em 1º de março de 2026, a Bitrefill foi alvo de um ataque cibernético. Com base nos indicadores observados durante a investigação — incluindo o modus operandi, o malware utilizado, o rastreamento on-chain e a reutilização de endereços IP e e-mails (!) — encontramos muitas semelhanças entre este ataque e ataques cibernéticos anteriores do grupo DPRK Lazarus / Bluenoroff contra outras empresas do setor cripto.

O acesso inicial teve origem em um laptop de funcionário comprometido, do qual uma credencial legada foi exfiltrada. Essa credencial forneceu acesso a um snapshot que continha segredos de produção. A partir daí, os atacantes conseguiram escalar o acesso à nossa infraestrutura mais ampla, incluindo partes do nosso banco de dados e determinadas carteiras de criptomoedas.

Detectamos o incidente inicialmente ao notar padrões suspeitos de compras com alguns fornecedores. Percebemos que nosso estoque de gift cards e as linhas de fornecimento estavam sendo explorados. Ao mesmo tempo, identificamos que algumas de nossas hot wallets estavam sendo drenadas e fundos transferidos para carteiras controladas pelos atacantes. No momento em que identificamos a violação, tiramos todos os nossos sistemas do ar como parte da resposta de contenção.

A Bitrefill opera um negócio global de e-commerce com dezenas de fornecedores, milhares de produtos e múltiplos métodos de pagamento em muitos países. Desligar tudo isso com segurança e colocá-lo novamente no ar não é trivial.

Desde o incidente, nossa equipe vem trabalhando de perto com pesquisadores de segurança líderes do setor, especialistas em resposta a incidentes, analistas on-chain e autoridades para entender o que aconteceu e como podemos evitar que isso volte a ocorrer. Um sincero agradecimento a @zeroshadow_io, @SEAL_Org, @RecoverisTeam e @fearsoff pela resposta rápida e pelo apoio ao longo de todo esse processo.

Sobre seus dados

Com base em nossa investigação e em nossos logs, não temos motivo para acreditar que os dados de clientes tenham sido o alvo dessa violação. Não há evidências de que todo o nosso banco de dados tenha sido extraído; apenas que os atacantes executaram um número limitado de consultas, compatíveis com sondagens para entender o que havia para roubar, incluindo criptomoedas e o inventário de gift cards da Bitrefill.

A Bitrefill foi projetada para armazenar pouquíssimos dados pessoais. Somos uma loja, não um provedor de serviços cripto. Não exigimos KYC obrigatório. Quando um cliente opta por verificar a conta — por exemplo, para acessar níveis mais altos de compra ou determinados produtos — esses dados ficam exclusivamente com nosso provedor externo de KYC, sem backups em nosso sistema.

Ainda assim, com base nos logs do banco de dados, sabemos que um subconjunto de registros de compras foi acessado e queremos ser transparentes quanto a isso.

Cerca de 18.500 registros de compras foram acessados pelos atacantes. Esses registros continham informações limitadas dos clientes, como endereços de e-mail, endereço de pagamento em cripto e metadados, incluindo endereço IP.

Para aproximadamente 1.000 compras, produtos específicos exigiam que os clientes informassem um nome. Essas informações são criptografadas em nosso banco de dados. No entanto, como os atacantes podem ter obtido acesso às chaves de criptografia, estamos tratando esses dados como potencialmente acessados. Os clientes dessa categoria já foram notificados diretamente por e-mail.

Neste momento, com base nas informações atualmente disponíveis, não acreditamos que os clientes precisem tomar ações específicas. Como precaução, recomendamos cautela em relação a quaisquer comunicações inesperadas relacionadas à Bitrefill ou a cripto. Se essa avaliação mudar, informaremos imediatamente os afetados.

O que estamos fazendo

Já melhoramos significativamente nossas práticas de cibersegurança, mas nos comprometemos a continuar aprendendo com essa experiência para garantir que os saldos e os dados de usuários e da empresa permaneçam o mais seguros possível. Especificamente, estamos:

Continuando revisões abrangentes de cibersegurança e testes de intrusão com múltiplos especialistas externos e implementando as recomendações;

Reforçando ainda mais os controles internos de acesso;

Aprimorando ainda mais o registro de logs e o monitoramento para detecção mais rápida e resposta mais eficaz; e

Continuando a refinar e testar nossos procedimentos de resposta a incidentes e de desligamento automatizado.

Conclusão

Sofrer um ataque sofisticado é péssimo (muito). Estamos no mercado há mais de 10 anos e esta é a primeira vez que somos atingidos com essa intensidade. Mas sobrevivemos.

A Bitrefill foi projetada para limitar o impacto caso algo assim acontecesse. A Bitrefill continua bem capitalizada, é lucrativa há vários anos e absorverá essas perdas com capital operacional.

Quase tudo voltou ao normal: pagamentos, estoque, contas. Os volumes de vendas também retornaram ao normal, e somos eternamente gratos aos nossos clientes pela confiança contínua.

Continuaremos fazendo o nosso melhor para continuar merecendo a sua confiança.

Obrigado!

[joker_josue]

Obrigado pela partilha sabotag3x
Ainda ontem andei a procura de mais detalhes, mas não encontrei nenhuma informação esclarecedora.

Aqui vimos que estes problemas são sempre fruto de algum descuido humano. Isto nos lembra que devemos estar sempre atentos aquilo que fazemos no nosso PC.

[mikel_012]

Obrigado pela partilha sabotag3x
Ainda ontem andei a procura de mais detalhes, mas não encontrei nenhuma informação esclarecedora.

Aqui vimos que estes problemas são sempre fruto de algum descuido humano. Isto nos lembra que devemos estar sempre atentos aquilo que fazemos no nosso PC.

A maior vulnerabilidade é o ser humano

Podem ter mil metodos de proteção que basta um funcionário clicar no link errado ou pegar um malware que ele entra no sistema e consegue se infiltrar lentamente, conseguindo informações de dentro e acessos que ninguém mais deveria ter

A única coisa que essas empresas podem fazer é tentar dificultar ao colocar barreiras para que nenhum funcionario tenha tanto acesso, mas nunca vai ser suficiente se ele for infectado ou cair na mentira

[rdluffy]

Estava lendo essa nota que a Bitrefill soltou e tudo indica mesmo que tenha sido os hackers norte coreanos da Lazarus ou esse outro braço deles que eu não sabia Bluenoroff

Eles simplesmente estão em uma zona sem jurisdição alguma de qualquer país externo a não ser Rússia e China que são seus aliados, mas como recorrer de um ataque vindo de um país desses que não vai cooperar com nada e ainda é financiado pelo próprio governo para arrecadar dinheiro de fora

Fico curioso para ver até que ponto que irão conseguir hackear ou se um dia irão fazer algo pior e causar alguma comoção maior...

[joker_josue]

Estava lendo essa nota que a Bitrefill soltou e tudo indica mesmo que tenha sido os hackers norte coreanos da Lazarus ou esse outro braço deles que eu não sabia Bluenoroff

Visto que o que eles mais roubaram foi cupões, a pergunta é: o que raio eles vão conseguir fazer com os cupões na Coreia do Norte?

Provavelmente, irão vender em algum marketplace. Mas, fica a questão...

[sabotag3x]

Visto que o que eles mais roubaram foi cupões, a pergunta é: o que raio eles vão conseguir fazer com os cupões na Coreia do Norte?

Provavelmente, irão vender em algum marketplace. Mas, fica a questão...

E deve ser muito fácil rastrear esses gift cards..

Basta comunicar o número para a empresa final e ela tem todos dados de quem usou (nome, endereço, etc).. muito fácil prender alguém, nem que seja por receptação.

Alguém recebeu e-mail da Bitrefill? eles falaram que entraram em contato com quem foi afetado pelo vazamento de dados.. (só tem que cuidar com phishing essas horas)

[mikel_012]

Estava lendo essa nota que a Bitrefill soltou e tudo indica mesmo que tenha sido os hackers norte coreanos da Lazarus ou esse outro braço deles que eu não sabia Bluenoroff

Visto que o que eles mais roubaram foi cupões, a pergunta é: o que raio eles vão conseguir fazer com os cupões na Coreia do Norte?

Provavelmente, irão vender em algum marketplace. Mas, fica a questão...

Basta revender

Muitos clonadores de cartão compram gift cards para revender depois com um alto desconto. Por exemplo uma compra na Amazon de um celular de $1000 você poderia usar um cartão e comprar por $700

Muitas operações devem acontecer para identificar quem compra esses cartões, mas eles continuam a existir e serem vendidos assim como muitos golpes de criptomoedas com idosos são lavados com cartões presentes famosos como Google Play. Tem vários videos engraçados de pessoas enganando golpistas se passando por idosos em chamadas telefonicas