O ataque hacker que resultou no desvio de milhões de reais de instituições financeiras mantidas em contas do Banco Central (BC) não envolveu o vazamento ou extração de dados de instituições financeiras e de clientes, de acordo com a C&M Software, empresa que presta serviços de tecnologia homologados pelo BC. A companhia esclareceu que o ataque simulou transações em nome de bancos, sem o objetivo de invadir os sistemas da empresa.
O ataque ocorreu na terça-feira (1º) à noite, quando criminosos utilizaram o login de instituições financeiras para roubar dinheiro de contas que as instituições financeiras mantêm no BC para cumprir exigências legais. O ataque foi divulgado apenas na quarta-feira (2). De acordo com a Empresa Brasil de Comunicação (EBC), pelo menos R$ 400 milhões foram desviados.
A C&M Software esclareceu que o ataque foi executado por meio de uma simulação fraudulenta de integração, utilizando credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada. A empresa anunciou que está revendo a política de acessos externos e de APIs (Application Programming Interface) para diminuir os riscos compartilhados entre a prestadora de serviços tecnológicos e os bancos.
A C&M Software contratou uma auditoria externa independente para avaliar, reforçar e certificar todos os controles de segurança, além de intensificar as revisões internas de governança e arquitetura. A empresa também informou que haverá padrões mais elevados de homologação por parte dos clientes que acessam os sistemas da empresa.
A hipótese mais provável para o login de um terceiro que se passou por instituição financeira foi a não ativação de todos os protocolos de segurança. A C&M Software informou que oferece um protocolo especial de conexão que inclui mais de uma instância de aprovação, controles de acesso por canal e horário, validação por múltiplos fatores e controle total do piloto de reserva. No entanto, a empresa ressaltou que cada instituição financeira tem autonomia para configurar as etapas de controle, eliminando níveis de segurança por decisão operacional própria.
O Banco Central (BC) restabeleceu as operações Pix da C&M Software após a empresa garantir que havia adotado medidas para dificultar novos ataques a seus sistemas. As operações da C&M Software poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais.
A C&M Software não divulgou uma estimativa de valores devolvidos às instituições financeiras, mas informou que uma parte do dinheiro foi devolvida por meio do Mecanismo Especial de Devolução (MED). O MED foi lançado em 2021 para ressarcir vítimas de fraude no Pix ou de erro operacional por instituições financeiras.
A companhia reiterou que está colaborando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo para investigar o ataque. Além disso, a C&M Software esclareceu que não possui conta transnacional e que não movimenta valores próprios, apenas atua como provedora de tecnologia homologada pelo Banco Central para conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), que inclui o Pix.
Por fim, a C&M Software informou que o ataque não afetou os demais sistemas operacionais da companhia, pois as infraestruturas do SPB para cada tipo de operação funcionam em módulo separado, não tendo sido afetadas pelo incidente. A empresa permanece trabalhando para garantir a segurança e a estabilidade de seus sistemas e serviços.