O ataque hacker à C&M Software, que desviou cerca de R$ 400 milhões de contas reservas que instituições financeiras mantêm no Banco Central (BC), não envolveu vazamento ou extração de dados de bancos ou clientes, segundo comunicado divulgado pela empresa nesta quinta-feira, 3 de julho. O golpe simulou transações em nome de instituições financeiras, sem invadir os sistemas da companhia, que é homologada pelo BC como prestadora de serviços de tecnologia.
Na terça-feira, 1º de julho, à noite, criminosos usaram o login de instituições financeiras para realizar o roubo. O caso só foi divulgado na quarta-feira, 2 de julho. De acordo com a C&M, o ataque ocorreu por meio de uma simulação fraudulenta de integração, usando credenciais legítimas de clientes para operar como instituições autorizadas.
A empresa anunciou revisões nas políticas de acesso externo e APIs, e contratou uma auditoria independente para reforçar os controles de segurança, governança e arquitetura. Segundo a companhia, haverá padrões mais elevados de homologação para os clientes, buscando reduzir riscos compartilhados entre bancos e a prestadora de tecnologia.
A hipótese mais provável para o uso indevido das credenciais, segundo a C&M, foi a não ativação de todos os protocolos de segurança por parte das instituições financeiras. A empresa oferece protocolos especiais com múltiplas instâncias de aprovação, controle de acesso por canal e horário e autenticação multifator, mas cada cliente tem autonomia para configurar esses níveis de segurança.
“A CMSW monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner [sistema de login]”, explicou a companhia.
O Banco Central restabeleceu nesta quinta-feira as operações Pix da C&M Software sob “regime de produção controlada”, após comprovação de medidas para dificultar novos ataques. O funcionamento ocorrerá em dias úteis, das 6h30 às 18h30, com anuência expressa das instituições participantes e monitoramento reforçado contra fraudes.
A empresa informou que parte dos valores foi devolvida por meio do Mecanismo Especial de Devolução (MED), lançado em 2021 para ressarcir fraudes ou erros operacionais no Pix, e reiterou colaboração com a Polícia Federal, Banco Central e Polícia Civil de São Paulo. A companhia destacou que não possui conta transnacional nem movimenta recursos próprios, atuando apenas como provedora tecnológica para conexão das instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB).
Por fim, a C&M reforçou que outros sistemas operacionais não foram afetados, pois as infraestruturas do SPB para cada tipo de operação funcionam em módulos independentes.
|
|
-
-
-
-
-
-
-
-
