Ataque hacker a empresa de tecnologia afeta Pix e desvia quase R$ 1 bilhão
Ana Souza / Redação RedeTV!Invasão a empresa terceirizada expõe fragilidade de conexões indiretas com o Banco Central
(Foto: Bruno Peres/Agência Brasil)
Clientes de diversas instituições financeiras enfrentaram interrupções no acesso ao Pix após um ataque cibernético à C&M Software, empresa responsável por integrar os sistemas de bancos ao Banco Central (BC). A ação criminosa resultou no desvio de pelo menos R$ 800 milhões de contas de oito instituições, segundo fontes ligadas ao caso. O episódio é apontado como o maior do tipo já registrado envolvendo o sistema do BC.
A C&M prestava serviços de conectividade para 22 instituições — entre bancos, cooperativas, sociedades de crédito e instituições de pagamento que não possuíam conexão direta com o BC. Após ser notificado, o Banco Central determinou o desligamento das conexões da empresa com os sistemas do Pix, o que provocou a suspensão temporária do serviço para as instituições atendidas.
“O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, informou a autoridade monetária em nota, sem revelar quais bancos foram atingidos. O BC afirmou ainda que seus sistemas não foram comprometidos e que o Pix continua operando normalmente. A Polícia Federal abriu inquérito para investigar o caso.
Fontes indicam que o ataque explorou falhas na segurança da C&M e deficiências nos controles internos das instituições afetadas. Kamal Zogheib, diretor comercial da empresa, declarou ao g1 que a C&M foi alvo de uso indevido de credenciais de clientes para acessar seus sistemas de forma fraudulenta. Ele ressaltou que “todos os sistemas críticos da companhia permanecem íntegros e operacionais” e que a empresa colabora com as investigações conduzidas pelo Banco Central e pela Polícia Civil de São Paulo.
O Banco Paulista confirmou ser uma das instituições impactadas. “Uma falha no provedor terceirizado causou a interrupção temporária do Pix em várias instituições”, informou o banco, destacando que os dados sensíveis não foram comprometidos, nem houve movimentações indevidas.
A BMP, outra instituição afetada, relatou acesso não autorizado a contas reserva de seis bancos. Essas contas são mantidas no BC para a liquidação de operações entre instituições financeiras. “Nenhum cliente da BMP foi impactado ou teve seus recursos acessados”, afirmou a instituição, que disse possuir garantias para cobrir o valor desviado.
Especialistas em segurança da informação classificaram a ação como complexa. “Foi um ataque muito sofisticado”, avaliou Pedro Diógenes, diretor técnico da CLM, empresa de segurança da informação. Segundo ele, a C&M transformava as ordens de pagamento em linguagem compatível com o Sistema de Pagamentos Brasileiro.
Augusto Barros, diretor do Instituto de Defesa Cibernética (IDCiber), destacou que o setor financeiro investe continuamente em tecnologia e que a reação rápida ao ataque ajudou a reduzir os danos. Para ele, o episódio pode levar a exigências mais rigorosas por parte do regulador.
Fique informado com a RedeTV!
- Clique aqui para entrar no nosso canal de notícias no WhatsApp
