O maior hack que o Brasil já viu

Na madrugada de 1º de julho de 2025, o sistema financeiro brasileiro sofreu um rombo de R$ 1 bilhão, com destaque para os R$ 541 milhões drenados do banco BMP. O ataque, inicialmente atribuído a falhas técnicas, foi resultado de engenharia social e não de uma invasão externa.

Funcionário da C&M Software, com acesso total ao sistema, vendeu suas credenciais. Isso permitiu que um grupo criminoso acessasse subdomínios mal protegidos e realizasse transferências sem validações adequadas.

A C&M tinha um papel crucial no sistema financeiro, gerenciando ordens de pagamento via SPB e Pix. A falta de controle de segurança e permissões internas excessivas foi a principal falha.

O ataque drenou quase 0,9% das reservas bancárias totais, estimadas em R$ 110 bilhões. Embora os clientes comuns não tenham sido diretamente afetados, a confiança na infraestrutura bancária foi abalada.

Durante o ataque, ordens atípicas foram processadas sem validações, com alertas soando após horas. A SmartPay, uma empresa de cripto, agiu rapidamente, bloqueando transações suspeitas, destacando a demora de respostas do sistema tradicional.

O modelo Banking-as-a-Service utilizado no Brasil facilitou a entrada de novas fintechs, mas também criou pontos únicos de falha. A falta de transparência e resposta institucional é preocupante, ao contrário do que ocorre no setor cripto.

Até o momento, o Banco Central não divulgou dados claros sobre o impacto total. Medidas foram tomadas, como a suspensão da C&M e de outras instituições, mas muitos questionamentos permanecem sem resposta.

A situação revelou um problema sistêmico: credenciais mal geridas, ausência de autenticação multifator e um sistema que operava com "confiança cega".

No final, o que parecia um ataque técnico sofisticado se revelou um caso de descuidado e engenharia social. A necessidade de melhorar a governança, processos de segurança e auditoria é urgente para evitar recorrências.

Nota do autor: Artigo escrito em 4 de julho de 2025.