Ataque hacker: empresa que atende bancos dá mais detalhes de como foi a invasão a sistema

BRASÍLIA - A C&M Software confirmou, em artigo divulgado na quinta-feira, 3, um incidente de segurança que resultou no desvio de ao menos R$ 800 milhões no dia 1º, um dos maiores já registrados no sistema financeiro do Brasil.

A empresa nega responsabilidade e afirma ser vítima de uma ação criminosa externa, mencionando que as credenciais de integração de um cliente foram indevidamente utilizadas. “Não houve invasão direta aos sistemas da CMSW”, assegura.

O ataque foi realizado por meio de uma simulação fraudulenta de integração, onde um terceiro usou as credenciais legítimas de um cliente para acessar serviços como se fosse uma instituição financeira autorizada.

A C&M, que conecta instituições ao Sistema de Pagamentos Brasileiro (SPB) e ao Pix, recebeu autorização do Banco Central para retomar parcialmente seus serviços.

A empresa destaca que está em diálogo com o BC para solucionar o caso e melhorar a governança do ecossistema de pagamentos. Informou também que não há mais impedimentos regulatórios para o Pix.

Algumas funcionalidades do sistema de integração “Corner” ajudam a prevenir incidentes, mas suas atividades de segurança dependem da escolha das instituições. A C&M monitora acessos, mas a responsabilidade pelo uso das credenciais é das instituições que as possuem.

Após o ataque, a C&M isolou o ambiente comprometido, bloqueou canais suspeitos e registrou o incidente no Mecanismo Especial de Devolução (MED) do Pix.

A empresa está colaborando com investigações e contratou uma auditoria externa para reforçar seus controles de segurança. Além disso, planeja revisar políticas de onboarding, homologação e governança de APIs, introduzindo novos requisitos obrigatórios de segurança para seu uso.