Kripto harcama kartları ve e-ticaret hizmetleri sunan Bitrefill, 1 Mart 2026’da yaşanan geniş çaplı siber saldırının detaylarını İçeren kapsamlı raporunu yayımladı. Şirket, saldırıda yaklaşık 18.500 işlem kaydının açığa çıktığını ve birden fazla sıcak cüzdanındaki varlıkların ele geçirildiğini açıkladı.
Sızdırılan Veri Detayları
Saldırı sonucu açığa çıkan veri setinde; e-posta adresleri, kripto para ödeme adresleri ve bazı IP bilgilerinin yanı sıra yaklaşık 1.000 kayıt için isim bilgisi de bulunuyor. Bitrefill, bu verilerin her ne kadar şifrelenmiş olarak saklandığını belirtse de, saldırganların şifreleme anahtarlarına erişmiş olabileceği varsayımıyla tüm verileri riskli sayıyor. Şirketin açıklamasında, zorunlu müşteri kimlik doğrulama (KYC) verilerinin ele geçirilmediğine dikkat çekildi. Bu tür hassas veriler, Bitrefill’in kendi altyapısında tutulmadığı ve dış bir hizmet sağlayıcı üzerinden yönetildiği için saldırıdan etkilenmedi. Çoğu kullanıcı bazında açıktan kalan sadece işlem geçmişi ve bazı teknik bilgiler oldu.
Bitrefill, saldırının 1 Mart’ta gerçekleştiğini ve olayın soruşturma sürecinde suç izlerinin, kullanılan zararlı yazılımın ve daha önce Kuzey Kore bağlantılı siber saldırılarda tespit edilen IP ve e-posta adreslerinin yeniden kullanımının tespit edildiğini aktardı.
Şirketin verdiği bilgiye göre saldırganlar, kullanıcı hesapları veya doğrudan finansal doğrulama belgelerini ele geçirme fırsatı bulamadı. Bitrefill, müşterilerin kişisel bilgilerinin korunmasına öncelik verdiklerini ve bu nedenle KYC verilerinin sistemlerinin dışında tutulduğunu bir kez daha vurguladı.
Saldırının Gelişimi
Siber saldırı, bir çalışanın dizüstü bilgisayarının tehlikeye atılmasıyla başladı. Erişim sağlayan saldırganlar, daha önce kullanımdan kaldırılmamış eski bir giriş bilgisi ve anahtarlar aracılığıyla şirkete ait altyapının diğer alanlarına ilerledi. Saldırganlar, elde ettikleri yetkilerle Bitrefill’in sıcak cüzdanlarındaki varlıkları transfer etti ve platform içindeki hediye kartı tedarikçileri üzerinden şüpheli siparişler geçti. İncelemede; kullanılan yazılım, birden fazla kez tespit edilen aynı IP ve e-posta adresleri ile fonların iz sürme çalışmaları sonucunda, Kuzey Kore bağlantılı Lazarus Group faturalarına benzer bulgulara ulaşıldı.
Bitrefill, olaya neden olan en büyük zafiyetin, görev dışı bırakılması gereken bir kimlik bilgisinin sistemde tutulmaya devam etmesiyle oluştuğunu ifade etti. Sistem anlık görüntüsünün ve bu eski kimlik bilgisinin saldırganlar tarafından ele geçirilmesi, ihlalin şirketin tüm altyapısına yayılmasına izin verdi.
Yanıt Süreci ve Sonuçlar
Bitrefill, saldırıyı tespit ettikten kısa süre sonra tüm sistemlerini çevrimdışı hale getirdi ve yaklaşık iki haftalık bir inceleme sürecinin ardından 17 Mart’ta neredeyse tüm hizmetlerin normale döndüğünü açıkladı. Şirket; ödemeler, kullanıcı hesapları ve ürün stoklarının tekrar erişilebilir olduğunu belirtti. Ayrıca, şirket yaşanan maddi zararın tamamını kendi öz kaynaklarından karşılayacağını açıkladı. Kullanıcı bakiyelerinin ise saldırıdan etkilenmediği ve güvende olduğu ifade edildi.
Saldırı ardından Bitrefill, siber güvenlik firmaları zeroShadow ve SEAL911 ile çalışmaya başladığını ve iç erişim kontrollerini güçlendirme çalışmalarının sürdüğünü bildirdi.
Lazarus Group’un Kripto Ekosistemindeki Rolü
Lazarus Group, yıllardır kripto sektöründe çok sayıda saldırıya imza atmış, Kuzey Kore’ye bağlı bir siber suç yapısı olarak biliniyor. Milyarlarca dolarlık kripto varlığın ele geçirildiği olaylarla ilişkilendirilen grubun bu fonları Kuzey Kore’nin silah programlarını finanse etmekte kullandığı ifade ediliyor. Son olayda, Lazarus’un daha önce büyük borsalara ek olarak orta ölçekli platformları hedef alma eğiliminin sürdüğü görülüyor.
Bitrefill olayında, kimlik doğrulama verilerinin platform dışında tutulması zararın daha da büyümesini engelledi. Ancak, tek bir ihmalkar hesap bilgisinin tüm şirket altyapısına açılan kapı haline gelmesi olayın en çarpıcı noktalarından biri olarak ön plana çıktı.
