Hackers acessaram sistemas com credenciais de clientes em roubo bilionário

Um ataque cibernético de grandes proporções atingiu a C&M Software na última terça-feira (1º/7). A empresa, que atua nos bastidores do sistema financeiro brasileiro, teve seus serviços invadidos por hackers que utilizaram credenciais de clientes para acessar suas plataformas, gerando perdas de valor ainda não oficialmente confirmado, mas que já são consideradas bilionárias.

A C&M desempenha papel fundamental no Sistema de Pagamentos Brasileiro (SPB), servindo como ponte tecnológica entre instituições financeiras e o Banco Central (BC). Sua atuação é especialmente relevante no funcionamento do Pix, sistema de transferências instantâneas que se tornou peça-chave nas transações do país desde 2020.

Veja as fotos

Abrir em tela cheia

Banco Central do BrasilFoto: Agência Brasil

Transferências eram agendadas no Pix e, depois, canceladas pelo golpistaFoto: Cris Fraga/Dragonfly Press

Homem usando computador, imagem ilustrativaMarcelo Casall Jr/Agência Brasil

Bilhões de senhas foram expostas, inclusive do GooglePixabay

Voltar Próximo

De acordo com o site Brazil Journal, estima-se que os criminosos tenham desviado ao menos R$ 400 milhões, podendo chegar a até R$ 1 bilhão em prejuízos. Segundo as primeiras informações, os invasores teriam conseguido acessar diversas contas por meio da infraestrutura da C&M. Uma das empresas mais afetadas seria a BMP, provedora de soluções de “banking as a service”, com longa atuação no setor e que no ano passado apresentou resultados robustos, com lucro líquido de R$ 231 milhões.

Ainda não se sabe ao certo o número total de instituições comprometidas, mas estimativas iniciais indicam que cada uma pode ter registrado perdas superiores a R$ 50 milhões.

Respostas e providências

A C&M divulgou nota oficial confirmando que foi “vítima direta da ação criminosa”. Ainda segundo o comunicado, “por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais e que as medidas previstas nos protocolos de segurança foram integralmente executadas”.

A empresa também garantiu que está colaborando com as investigações conduzidas pelo Banco Central, pela Polícia Civil de São Paulo e pela Polícia Federal, que já abriu inquérito para apurar o caso.

A BMP, por sua vez, informou que nenhum cliente sofreu impacto direto. “No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, afirmou.

A companhia reforçou que segue operando normalmente, “com total segurança”, e “reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.

Em nota pública, o Banco Central também se manifestou: “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica”. Como medida de precaução, “o Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”.