A C&M Software esclareceu que o ataque cibernético que desviou milhões de reais de contas de instituições financeiras no Banco Central não resultou em vazamento de dados de clientes. Segundo a empresa, os criminosos simularam transações usando credenciais legítimas de bancos, sem invadir seus sistemas internos.
O ataque ocorreu na noite de terça-feira (1º) e foi divulgado na quarta-feira (2). Criminosos utilizaram o login de instituições para movimentar valores das contas reservas no BC, que são usadas para atender exigências legais. Os recursos foram enviados via Pix para corretoras de criptomoedas. A Empresa Brasil de Comunicação confirmou o desvio de ao menos R$ 400 milhões.
O incidente afetou apenas a infraestrutura tecnológica que integra bancos ao Banco Central. Não houve impacto direto nas contas de correntistas. A C&M explicou que o golpe explorou uma simulação fraudulenta de integração, com o uso de credenciais de um cliente, e anunciou revisão nas políticas de acesso externo e APIs para reduzir riscos.
A empresa informou que exigirá homologação mais rigorosa de clientes para acesso aos sistemas e contratou uma auditoria externa independente para reforçar os controles de segurança, além de revisar sua governança interna e arquitetura de sistemas.
A hipótese mais provável para o acesso indevido envolve a não ativação completa dos protocolos de segurança disponíveis, que incluem validação em múltiplos fatores, restrições de canal e horário e instâncias de aprovação. A C&M ressaltou que cada instituição tem autonomia para definir as etapas de segurança, podendo eliminar camadas de proteção por decisão própria.
O Banco Central restabeleceu nesta quinta-feira (3) as operações Pix da C&M sob “regime de produção controlada”. O restabelecimento parcial ocorreu após a empresa apresentar medidas para dificultar novos ataques. As operações poderão ocorrer em dias úteis, das 6h30 às 18h30, com anuência dos bancos e monitoramento reforçado contra fraudes.
A empresa não divulgou o valor recuperado, mas informou que parte foi devolvida pelo Mecanismo Especial de Devolução (MED), criado para ressarcir vítimas de fraudes. A C&M destacou que a taxa de devolução foi superior à média do mercado devido à rápida identificação da fraude e afirmou colaborar com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo. A companhia esclareceu que não possui contas próprias e atua apenas como intermediária tecnológica homologada pelo Banco Central para o Sistema de Pagamentos Brasileiro.
Fonte: cenariomt
