A C&M Software (CMSW), que atua na comunicação entre instituições financeiras e alvo de ataque hacker nesta quarta-feira (2), informou que os criminosos obtiveram acesso aos seus sistemas por meio de credenciais de clientes.

Entenda o que houve

• A empresa é usada por bancos e outras instituições conectadas ao Sistema de Pagamentos Brasileiro (SPB), incluindo operações de liquidação via Pix, mais especificamente, instituições provedoras de contas transacionais que não possuem meios próprios de conexão;
• E, nesta quarta-feira (2), o Banco Central (BC) confirmou um ataque hacker aos sistemas da empresa;
• Segundo a autoridade monetária, nenhum valor administrado diretamente pelo Banco Central foi afetado;
• Ainda assim, o BC determinou o desligamento do acesso das instituições financeiras às infraestruturas operadas pela C&M Software;
• Até o momento, a dimensão do prejuízo não foi oficialmente confirmada. No entanto, especialistas em segurança ouvidos pela Folha de S.Paulo estimam que os valores desviados possam ultrapassar R$ 1 bilhão.

Para entender o contexto completo da violação, leia esta matéria do Olhar Digital.

Detalhamento do ataque hacker

Segundo o Brazil Journal, com o acesso aos sistemas da CMSW via credenciais de clientes, os criminosos tiveram acesso a inúmeras contas, sendo que a BMP, que presta serviços de Banking as a Service (BaaS), foi a instituição mais afetada.

Ainda, estimativas iniciais apontam para perda de, em média, R$ 50 milhões de cada fintech e banco afetado.

Leia mais:

O que dizem os envolvidos

A empresa se manifestou em nota pública. Segundo a CMSW, ela é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços.

“A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de SP, nas investigações em andamento”, diz a nota assinada pelo diretor comercial da empresa, Kamal Zogheib.

A companhia também informou que, por orientação jurídica e em respeito ao sigilo das apurações, não comentará detalhes do processo, mas reforçou que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas.

Também em nota, a BMP informou que nenhum cliente seu foi atingido no ataque hacker bilionário. “No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, afirmou.

A companhia alegou que está operando normalmente, “com total segurança”, e “reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.

O BC também se pronunciou e disse que “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”.