Empresa alega "uso indevido de credenciais" em ataque hacker milionário

Ao menos R$ 100 milhões foram levados no ataque hacker contra a C&M Software

Elijonas Maia e Thomaz Coelho, da CNN, Brasília e São Paulo
Compartilhar matéria

Ao menos R$ 100 milhões foram levados no ataque hacker contra a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não têm meios de conexão próprios.

Em nota enviada à CNN, a empresa afirmou que foi vítima direta de uma ação criminosa que envolveu o uso indevido de credenciais de clientes para tentativa de acesso fraudulento aos seus sistemas.

A empresa confirmou que colabora com a Polícia Civil de São Paulo e o Banco Central nas investigações. O caso também está sendo investigado pela Polícia Federal.

Segundo a CMSW, todos os sistemas críticos seguem íntegros e operacionais. A empresa afirmou ainda que seguiu todos os protocolos de segurança previstos e que não comentará mais detalhes do caso, por orientação jurídica e respeito ao sigilo das apurações.

Leia Mais

Entenda o ataque hacker

A C&M Software é uma empresa autorizada e supervisionada pelo Banco Central do Brasil responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

À CNN, a instituição BMP, uma das mais afetadas, informou que o ataque permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a própria BMP, provedora de serviços de “banking as a service”.

A empresa explica que as contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.

No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição declara que adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.

Conforme noticiou a CNNa C&M Software foi imediatamente desconectada do ambiente por determinação do Banco Central.

A Polícia Federal abriu investigação e o caso está sendo apurado em força-tarefa pela Diretoria de Repressão a Crimes Cibernéticos, em Brasília, para identificar a autoria do ataque, que está sendo chamado como um "assalto virtual".