Ataque hacker não envolveu extração de dados de clientes, afirma empresa

O ataque hacker que ocasionou no desvio de milhões de reais que instituições financeiras tinham depositado em contas do Banco Central (BC) não envolveu o vazamento ou extração de dados de instituições financeiras e de clientes, segundo informou nesta quinta-feira (3) a C&M Software.

De acordo com a empresa, o ataque simulou transações em nome de bancos, sem intenção de invadir os sistemas da companhia, que presta serviços de tecnologia homologados pelo Banco Central (BC).

Na última terça-feira (1) pela noite, criminosos utilizaram o login de instituições financeiras para roubarem dinheiro de contas que as instituições financeiras mantêm no BC para cumprirem exigências legais. O ataque se tornou público no dia seguinte, quarta-feira (2).

Leia também: Suspeito de liberar acesso para ataque hacker ao sistema que liga bancos ao Pix é preso em SP

O ataque hacker atingiu apenas a estrutura tecnológica da C&M e contas reservas no BC, que tiveram o dinheiro desviados por meio de Pix para corretoras de criptomoedas. De acordo com a Empresa Brasil de Comunicação (EBC) ao menos R$ 400 milhões foram desviados. Os recursos de correntistas, por outro lado, não foram afetados.

De acordo com esclarecido pela companhia, o ataque foi feito através de uma simulação fraudulenta de integração, utilizando credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.

A C&M divulgou que está revendo a política de acessos externos e de APIs (ponte que permite que dois aplicativos dialoguem e compartilhem informações ou funcionalidades).

Ainda de acordo com a C&M, haverá padrões maiores de homologação por parte dos clientes que acessarem os sistemas da empresa, para diminuir os riscos compartilhados entre a prestadora de serviços tecnológicos e bancos.

Providências para devolução dos valores

De acordo com a C&M não há uma estimativa para devolução dos valores devolvidos para as instituições financeiras, mas disse que uma parte do dinheiro foi devolvida através do Mecanismo Especial de Devolução (MED). O mecanismo foi lançado em 2021 para devolver os recursos de vítimas de fraude no Pix ou de erro operacional por instituições financeiras.

De acordo com a C&M, a taxa de devolução através do MED foi maior que a média do mercado, pois a fraude foi identificada rápido. A empresa tecnológica reforçou estar colaborando com a Polícia Federal, Banco Central e Polícia Civil de São Paulo.

A C&M divulgou ainda, que o ataque não chegou a afetar os demais sistemas operacionais da companhia, pois as infraestruturas do SBP para cada tipo de operação

A empresa também informou que o ataque não chegou a afetar os demais sistemas operacionais da companhia, pois as infraestruturas do SBP para cada tipo de operação funcionam em módulo separado, não tendo sido afetadas pela ação criminosa.