Bitrefill bị tấn công: 18.500 hồ sơ người dùng bị lộ trong cuộc tấn công mạng

Nền tảng thanh toán tiền điện tử Bitrefill đã xác nhận một cuộc tấn công mạng lớn vào ngày 1 tháng 3 năm 2026, với các dấu hiệu cho thấy nhóm Lazarus có liên hệ với Triều Tiên là thủ phạm.

Cuộc tấn công vào Bitrefill đã làm lộ các hệ thống nội bộ, rút ​​sạch tiền trong ví điện tử và truy cập vào khoảng 18.500 hồ sơ người dùng. Hãy cùng tìm hiểu xem vụ tấn công Bitrefill đã diễn ra như thế nào và liệu dữ liệu người dùng có an toàn hay không.

Vụ hack Bitrefill đã diễn ra như thế nào?

Vụ tấn công Bitrefill bắt đầu một cách đơn giản nhưng vô cùng nguy hiểm, thông qua máy tính xách tay bị xâm nhập của một nhân viên. Trong một bài đăng trên X, Bitrefill cho biết tin tặc đã đánh cắp được thông tin đăng nhập cũ, cho phép chúng truy cập vào các hệ thống nội bộ.

Thông tin đăng nhập bị đánh cắp đã giúp tin tặc xâm nhập vào các hệ thống nội bộ và tiến sâu hơn vào cơ sở hạ tầng của công ty.

Từ đó, họ truy cập được vào các phần của cơ sở dữ liệu và ví tiền điện tử nóng, cho phép họ chuyển tiền đến các địa chỉ bên ngoài.

March 1st incident report

On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation – including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) – we find many similarities…

— Bitrefill (@bitrefill) March 17, 2026

Khi cuộc tấn công xảy ra, công ty lần đầu tiên nhận thấy hoạt động bất thường khi những kẻ tấn công bắt đầu lạm dụng hệ thống thẻ quà tặng của họ. Đồng thời, tiền cũng được chuyển từ các ví nóng.

Ngay khi phát hiện ra, Bitrefill đã nhanh chóng tắt toàn bộ hệ thống để ngăn chặn thiệt hại thêm và bảo vệ nền tảng của mình.

18.500 hồ sơ người dùng bị lộ

Bitrefill xác nhận rằng khoảng 18.500 hồ sơ giao dịch mua bán đã bị truy cập. Dữ liệu này bao gồm địa chỉ email, địa chỉ ví tiền điện tử và các chi tiết kỹ thuật như địa chỉ IP.

Trong khoảng 1.000 trường hợp, tên khách hàng cũng có thể đã bị lộ. Công ty cho biết dữ liệu này đã được mã hóa nhưng vẫn được coi là có nguy cơ bị xâm phạm.

Bất chấp vụ xâm phạm dữ liệu, Bitrefill cho biết họ lưu trữ rất ít dữ liệu cá nhân và không yêu cầu xác minh danh tính đầy đủ (KYC). Bất kỳ dữ liệu nhạy cảm nào của người dùng đều được lưu trữ bởi các nhà cung cấp bên ngoài, chứ không phải trên hệ thống của chính họ.

Nhóm Lazarus bị nghi ngờ đứng sau vụ tấn công này

Theo Bitrefill, dựa trên mô hình tấn công này, vụ việc cho thấy sự tương đồng mạnh mẽ với các cuộc tấn công trước đây có liên quan đến nhóm Lazarus do nhà nước Triều Tiên tài trợ.

Những điểm tương đồng này bao gồm các mẫu phần mềm độc hại, hệ thống được tái sử dụng và các giao dịch chuyển tiền trên chuỗi.

Bitrefill đã bắt đầu cuộc điều tra sau vụ tấn công mạng

Thêm vào đó, trong một bài đăng, Bitrefill cho biết họ đã bắt đầu hợp tác với các chuyên gia an ninh mạng, nhà phân tích blockchain và cơ quan thực thi pháp luật để điều tra vụ xâm phạm.

Hiện tại, công ty đang cải thiện hệ thống của mình bằng cách bổ sung các biện pháp kiểm soát chặt chẽ hơn, hệ thống giám sát mạnh mẽ hơn và các kế hoạch phản hồi nhanh hơn.

Bitrefill cho biết người dùng không cần phải hành động ngay lập tức nhưng nên cảnh giác với các email lừa đảo hoặc tin nhắn đáng ngờ.