C&M divulga novos dados de incidente de segurança e garante revisão de políticas

A C&M Software revelou informações sobre um grave incidente de segurança que resultou em um desvio de R$ 800 milhões no sistema financeiro do Brasil, ocorrido na terça-feira, 1º de outubro.

A empresa nega responsabilidade, afirmando ser vítima de uma ação criminosa externa, onde credenciais de um cliente foram utilizadas indevidamente. A C&M garantiu que não houve invasão de seus sistemas, que permanecem íntegros e operacionais.

O ataque envolveu uma simulação fraudulenta de integração, com um terceiro acessando serviços como se fosse uma instituição financeira autorizada. A empresa, que conecta instituições ao Sistema de Pagamentos Brasileiro (SPB), recebeu autorização do Banco Central para retomar parcialmente seus serviços.

A C&M afirmou que está em diálogo com o Banco Central para solucionar o incidente e melhorar a governança do ecossistema de pagamentos. Enquanto isso, algumas funcionalidades de segurança de seu sistema, o Corner, não são ativadas por todos os clientes.

A empresa isolou o ambiente afetado, bloqueou canais suspeitos, registrou o ocorrido no Mecanismo Especial de Devolução (MED) do Pix e comunicou o ataque ao BC e às autoridades policiais. A C&M também contratou uma auditoria externa para reforçar seus controles de segurança e intensificará revisões internas.

A C&M promete rever suas políticas de onboarding, homologação e governança de APIs, estabelecendo novos requisitos mínimos obrigatórios de segurança para seus clientes.