A empresa afirma que o ataque cibernético não resultou na obtenção de informações de clientes

O ataque hacker que resultou no desvio de milhões de reais mantidos por instituições financeiras em contas do Banco Central (BC) não envolveu vazamento ou extração de dados das instituições financeiras e de seus clientes, comunicou a C&M Software nesta quinta-feira (3).

A empresa conduziu um ataque simulando transações em nome de bancos, sem a intenção de comprometer os sistemas da empresa, que oferece serviços de tecnologia autorizados pelo Banco Central (BC).

Leia também:

O déficit comercial brasileiro atingiu US$ 5,9 bilhões em junho, segundo o Ministério do Desenvolvimento, Indústria, Comércio Exterior e Turismo (Mdic)

Ex-jogador do Arsenal é acusado de estupro e agressão sexual, conforme relatos da polícia

O déficit comercial aponta para o pior desempenho do primeiro semestre desde 2020

Na terça-feira, criminosos utilizaram credenciais de instituições financeiras para subtrair recursos de contas mantidas por essas instituições no Banco Central, em cumprimento de obrigações legais. O incidente veio à tona na quarta-feira.

O ataque não impactou os clientes, pois afetou apenas a infraestrutura tecnológica da C&B e as contas reservas no Banco Central, onde valores foram transferidos via Pix para corretoras de criptomoedas. A Empresa Brasil de Comunicação (EBC) informou que pelo menos 400 milhões de reais foram subtraídos.

A empresa informou que o ataque ocorreu por meio de uma simulação fraudulenta de integração, utilizando credenciais legítimas de um cliente para acessar os serviços em caráter de instituição financeira autorizada.

A C&M informou que está reavaliando a política de acessos externos e de APIs.

A empresa informou que os clientes exigirão critérios de aprovação mais rigorosos no acesso aos seus sistemas, visando reduzir os riscos mútuos entre a fornecedora de serviços tecnológicos e as instituições financeiras.

A empresa contratou uma auditoria externa independente para avaliar, fortalecer e validar todos os controles de segurança, além de aprofundar as revisões internas de governança e arquitetura.

Hipótese

A hipótese mais provável para o login de um terceiro que se passou por instituição financeira foi a não ativação de todos os protocolos de segurança. A C&M informou que oferece um protocolo especial de conexão que inclui mais de uma instância de aprovação; controles de acesso por canal e horário; validação por múltiplos fatores; e controle total do piloto de reserva.

A C&M comunicou que cada instituição financeira possui autonomia para definir as etapas de controle, removendo níveis de segurança determinados por decisões operacionais próprias.

A C&M Software acompanha o desempenho técnico e os acessos, mas preserva a autonomia e governança de cada cliente em relação às permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as possui, assim como o uso de todas as funcionalidades de segurança disponíveis no Corner [sistema de login], justificou a companhia.

O Pix é um sistema de pagamentos instantâneo do Banco Central do Brasil que permite transferências em tempo real, 24 horas por dia, 7 dias por semana, incluindo feriados.

Hoje, o Banco Central retomou as operações Pix da C&M. A restabelecimento “sob regime de produção controlada” ocorreu logo após o BC substituir a determinação para que a empresa suspendesse seus serviços integralmente, e em caráter cautelar, por uma suspensão parcial.

Segundo o Banco Central, a decisão foi tomada após a C&M demonstrar que implementou ações para impedir novos ataques aos seus sistemas.

De acordo com o Banco Central, as operações da C&M podem ser restabelecidas em dias úteis, das 6h30 às 18h30, contanto que haja anuência expressa da instituição participante do Pix e o reforço do monitoramento de fraudes e limites transacionais.

Providências

A empresa não apresentou uma estimativa dos valores restituídos às instituições financeiras, mas comunicou que uma parcela do dinheiro foi devolvida por meio do Mecanismo Especial de Devolução (MED). Esse mecanismo, lançado em 2021, visa compensar vítimas de fraude no Pix ou de falha operacional das instituições financeiras.

De acordo com C&M, a taxa de devolução pelo MED foi acima da média do mercado devido à identificação rápida de fraudes. A empresa de tecnologia reforçou seu trabalho de colaboração com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo.

A empresa esclareceu não deter conta transnacional e que não executa movimentação de valores próprios, atuando unicamente como fornecedora de tecnologia, homologada pelo Banco Central, para interligar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix.

A C&M declarou que o ataque não comprometeu os demais sistemas operacionais da empresa, uma vez que as infraestruturas do SBP para cada tipo de operação operam em módulos distintos, sem terem sido impactadas pelo ocorrido.

Uber e Loggi anunciam parceria para ampliar o serviço de entregas no Brasil.

Fonte por: CNN Brasil