Bitrefill 报告 Lazarus 式漏洞利用耗尽资金并暴露部分用户数据

加密货币兑礼品卡平台 Bitrefill 在 3 月 1 日遭受了一次复杂的网络攻击，该公司在周二的披露中表示，此次攻击与朝鲜网络犯罪组织 Lazarus Group 的行动有很强的相似性。攻击者通过窃取员工设备上的一个旧版登录凭证获得了立足点，并利用此权限深入其基础设施，最终访问了部分数据库和加密货币钱包，导致公司资金被耗尽，并利用了礼品卡库存和供应链。

此次泄露影响了约 18,500 条购买记录，包括客户的电子邮件地址、加密支付地址和 IP 地址等元数据。约有 1,000 笔交易涉及客户姓名，尽管这些信息已加密，但仍有可能被泄露。Bitrefill 强调，客户持有的礼品卡、商店积分和账户余额未受影响，且 KYC 数据由外部提供商处理。该公司表示正在加强安全态势，并计划使用运营资本来弥补攻击造成的财务损失。

(来源：Crypto Briefing)