Ataque hacker que desviou milhões não vazou dados de clientes, diz empresa

Erik Silva
3 Min Read

Desvio de dinheiro não atingiu correntistas

A C&M Software comunicou nesta quinta-feira (3) que o ataque hacker sofrido por sua infraestrutura não envolveu a extração de dados de clientes ou de instituições financeiras. O incidente focou exclusivamente no desvio de recursos que bancos mantinham depositados em contas do Banco Central para cumprir exigências legais.

Índice deste conteúdo

Os criminosos utilizaram logins autênticos de instituições financeiras na noite de terça-feira (1º) para simular transações e acessar os serviços como se fossem um banco autorizado. O ataque atingiu a estrutura tecnológica da empresa e as contas reservas no BC, enviando o dinheiro via Pix para corretoras de criptomoedas.

A Empresa Brasil de Comunicação confirmou que o valor desviado chega a pelo menos R$ 400 milhões. A C&M esclareceu que os saldos dos correntistas não se afetaram porque a fraude mirou apenas os recursos institucionais mantidos no sistema do Banco Central.

Falha de segurança e responsabilidades

A empresa aponta que a invasão provavelmente ocorreu porque nem todos os protocolos de segurança estavam ativados pela instituição que teve as credenciais usadas. A C&M oferece diversas camadas de proteção, como validação por múltiplos fatores e aprovação em várias instâncias, mas os clientes possuem autonomia para configurar esses controles.

A companhia reforçou que monitora a parte técnica, mas não interfere nas decisões operacionais dos bancos.

“A CMSW [outra sigla da C&M Software] monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner [sistema de login]”

Retomada do Pix e medidas adotadas

O Banco Central restabeleceu as operações Pix da C&M nesta manhã sob um regime de produção controlada. O serviço poderá funcionar em dias úteis, das 6h30 às 18h30, após a empresa comprovar que adotou medidas para dificultar novos ataques e reforçar o monitoramento de fraudes.

Uma parte do dinheiro desviado já retornou aos bancos por meio do Mecanismo Especial de Devolução (MED), que agiliza o ressarcimento em casos de fraude no Pix. A empresa anunciou novas ações para aumentar a segurança:

  • Contratação de auditoria externa independente para certificar controles.
  • Revisão da política de acessos externos e de APIs (sistemas de integração).
  • Exigência de padrões mais elevados de homologação para os clientes acessarem o sistema.

A C&M Software reiterou que não movimenta valores próprios e atua apenas como provedora de tecnologia homologada. A empresa colabora com a Polícia Federal e a Polícia Civil de São Paulo nas investigações.

ByErik Silva
Follow:
Jornalista, Redator, Editor e Social Mídia. Com experiência na administração de redes sociais, Designer Gráfico, elaboração e gerenciamento de sites CMS com especialização em WordPress e Web Service. SEO (Otimização de motores de busca). Mais de 10 anos de experiência com integração em Comunicação e Marketing
Artigo anterior EAS Comunicação Digital | Tecnologia e Insights para o Mundo Moderno Site Mixvale pede verificação de segurança ao acessar
Próximo artigo OXXO abre loja temática da Flying Fish e lança campanha de carnaval