Sistemas de instituições financeiras foram invadidos após um ataque hacker a sistema da C&M Software, empresa que presta serviços de tecnologia na intermediação entre instituições financeiras e o Banco Central (BC). Segundo especialistas do Grupo FS, empresa de segurança da informação, esse seria o maior caso já registrado no Brasil.
Os cibercriminosos teriam como alvo recursos de contas reserva que a C&M Software mantinha para clientes no BC. Deste montante de R$ 1 bilhão acessados, segundo a Folha de S.Paulo, R$ 500 milhões pertenciam a um único cliente da C&M.
O diretor-geral da Polícia Federal afirmou à GloboNews que a corporação deve abrir um inquérito para investigar o caso. Até o momento, não há confirmação oficial sobre o montante total desviado nem a lista completa de instituições afetadas.
Entenda
O ataque envolveu o uso indevido de credenciais de clientes (nomes de usuários e senhas) para acessar de forma fraudulenta as contas reserva. Após a identificação da falha, o Banco Central determinou o desligamento do acesso das instituições às infraestruturas operadas pela C&M.
A empresa é homologada pelo BC para operar com o Pix, assim como outras oito companhias no país. Entre seus clientes estão bancos como Bradesco e XP, que afirmaram não terem sido impactados.
As contas reserva são utilizadas exclusivamente para liquidação interbancária, como transferências de fundos entre as instituições financeiras. A infraestrutura do Pix não foi comprometida, mas o ataque afetou uma série de bancos que integram a rede do Pix, causando interrupção temporária em transferências pela modalidade.
Um dos clientes da C&M Software, a BMP confirmou que criminosos acessaram indevidamente sua conta reserva, mas disse ter como cobrir o valor furtado e manter a operação sem prejuízo.
Outra cliente da C&M, a Credsystem, teve o serviço de Pix suspenso por determinação do BC. A empresa informou que seus clientes seguem com acesso normal ao serviço de TED.
Em nota, a C&M Software afirmou que seus sistemas críticos continuam operacionais e que colabora com as investigações conduzidas pelo Banco Central e pela Polícia Civil de São Paulo. O site da empresa está fora do ar desde a manhã de terça-feira (2).
Caso fique comprovada falha de segurança da C&M, a empresa poderá ser responsabilizada pelos prejuízos. Por atuar como fornecedora de tecnologia, e não como instituição financeira, a companhia não é obrigada a manter depósitos de garantia, como exigido dos bancos.
