Segundo fontes, criminosos teriam explorado vulnerabilidades tأ©cnicas de um prestador de serviأ§os do Pix para acessar as reservas financeiras mantidas no Banco Central (BC) e causar um prejuأzo significativo. As investigaأ§أµes foram abertas na أ؛ltima quarta-feira pela Polأcia Federal (PF). O Valor separou 8 pontos para entender o ataque hacker a prestadora de serviأ§os do Pix. Veja abaixo: A quantia exata ainda nأ£o foi revelada, mas estimativas de fontes a par do assunto apontam que o valor pode ter chegado a R$ 400 milhأµes, apurou o Valor. Os criminosos teriam acessado contas reservas mantidas por seis instituiأ§أµes financeiras junto ao Banco Central, segundo fontes. Todas elas usavam o banking as a service da C&M Software, alvo do ataque. A Credsystem e a BMP confirmaram que foram afetadas. Hأ، indأcios de que parte dos valores roubados foi convertida rapidamente em criptoativos. Isso significa que serأ، necessأ،ria uma colaboraأ§أ£o internacional para que seja feito o rastreamento dos valores. Ainda assim, uma pequena fraأ§أ£o do dinheiro desviado teria sido recuperada pelas instituiأ§أµes afetadas, via MED, mecanismo especial de devoluأ§أ£o do Pix. As investigaأ§أµes tentarأ£o esclarecer esse ponto. As primeiras informaأ§أµes sugerem que o roubo, ocorrido na segunda-feira (30), teria sido cometido por uma pessoa ou um grupo de hackers que exploraram uma vulnerabilidade da C&M Software, empresa que presta serviأ§os para o setor e se conecta com a infraestrutura do Pix. As primeiras informaأ§أµes de um ataque hacker comeأ§aram a circular no mercado na noite de terأ§a-feira (1) e foram confirmados pelo Banco Central na quarta-feira (4). A empresa que sofreu o ataque cibernأ©tico foi a C&M Software, que atua no setor de pagamentos em tempo real. Fundada em 1999 por Orli Machado, a C&M foi autorizada pelo BC em 2001 a operar como prestadora de serviأ§os de tecnologia da informaأ§أ£o (PSTI) para o setor financeiro. Ela tambأ©m teria participado informalmente, como consultora, da criaأ§أ£o do Pix. A companhia أ© especializada em integrar instituiأ§أµes financeiras ao sistema do Pix e, segundo informaأ§أµes prأ³prias, ela detأ©m atualmente 23% do mercado (“market shareâ€). Como funciona a conexأ£o da C&M (provedora de serviأ§os) com o Pix e instituiأ§أµes financeiras — Foto: arte/valor A C&M informou que estأ، colaborando ativamente com as investigaأ§أµes das autoridades competentes, incluindo o Banco Central e a Polأcia Civil de Sأ£o Paulo. “A empresa foi vأtima de uma aأ§أ£o criminosa, que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento. Todas as medidas previstas em nossos protocolos de seguranأ§a foram imediatamente adotadas, incluindo o reforأ§o de controles internos, auditorias independentes e comunicaأ§أ£o direta com os clientes afetadosâ€, disse a companhia em nota. As investigaأ§أµes acabaram de ser abertas pela PF, mas especialistas consultados pelo Valor acreditam que o crime pode ter acontecido dentro da sede da C&M. Hأ، indأcios de que a falha principal foi em um sistema de hardware, ou seja, em um dispositivo fأsico. Como integradora, a C&M atua conectando instituiأ§أµes financeiras ao Sistema de Pagamentos Instantأ¢neos (SPI) do Banco Central. A estrutura do SPI exige camadas de seguranأ§a, tanto em hardware quanto em software. Especialistas acreditam que a principal falha tenha sido uma mأ، configuraأ§أ£o na camada de mأ³dulos de seguranأ§a de hardware (HSM, na sigla em inglأھs). Esse pode ser um indأcio de que houve ajuda interna para burlar as credenciais de seguranأ§a. O HSM أ© um dispositivo fأsico projetado para proteger e gerenciar chaves criptogrأ،ficas. “Pelo tamanho da operaأ§أ£o, acredito que nأ£o foi um â€کbrute force’ [quando se utiliza tentativa e erro para quebrar as camadas de seguranأ§a] para poder entrar nas mأ،quinas, entأ£o o pessoal jأ، tem uma visأ£o um pouco diferente, de que teria que ter um acesso internoâ€, diz Miller Augusto, CEO da Ivy, holding especializada em consultoria em soluأ§أµes tecnolأ³gicas, em entrevista dada anteriormente ao Valor. Apesar da separaأ§أ£o entre hardware e software, os sistemas funcionam de maneira integrada. O hardware sem o software أ© como um dispositivo desligado. A especulaأ§أ£o أ© que, no software, tenha ocorrido uma mأ، configuraأ§أ£o na camada de Gerenciamento de Identidade e Acesso (IAM, na sigla em inglأھs), Porأ©m, para Alberto Leite, CEO do Grupo FS, o envolvimento de um “insider†(interno, alguأ©m da C&M) parece menos provأ،vel. “Geralmente, os atacantes exploram vulnerabilidades em APIs [interface de programaأ§أ£o de aplicaأ§أµes], falhas na autenticaأ§أ£o ou permissأµes excessivas. Os hackers podem ter usado engenharia social para obter credenciais ou malware [software malicioso] para se infiltrarâ€, afirmou em uma entrevista dada anteriormente ao Valor. Alexis Aguirre, diretor da CyberGate no Brasil, tem opiniأ£o parecida. Para ele, a falha nأ£o parece ter sido no HSM, mas em mأ³dulos adicionais de seguranأ§a no IAM, como a autenticaأ§أ£o de multifatores. Depois que os criminosos conseguiram o acesso, fraudaram as credenciais de comunicaأ§أ£o com as instituiأ§أµes financeiras para desviar dinheiro. 5. Quais instituiأ§أµes foram afetadas? Segundo relatos, os criminosos usaram a porta de entrada da C&M e teriam acessado contas reservas mantidas por seis instituiأ§أµes financeiras junto ao Banco Central. A C&M foi imediatamente desconectada do ambiente do Banco Central, mas seus serviأ§os jأ، foram restabelecidos na manhأ£ desta quinta-feira (03), mas com restriأ§أµes. Entre as empresas afetadas estأ، a BMP, que jأ، se manifestou sobre o assunto. Credsystem e Banco Paulista tiveram as suas operaأ§أµes com o Pix interrompidas ontem, mas nأ£o chegaram a confirmar se foram ou nأ£o vأtimas do ataque hacker. Hأ، relatos tambأ©m que o problema teria atingido Banco Carrefour e a cooperativa Credufes, que procurados, nأ£o se manifestaram. O Bradesco tambأ©m teria contrato com a C&M, mas nأ£o dependeria dela para o Pix e nأ£o foi afetado pelo incidente. A BMP afirma que segue operando normalmente, “com total seguranأ§a, e reforأ§a seu compromisso com a integridade do sistema financeiro, a proteأ§أ£o dos seus clientes e a transparأھncia nas suas comunicaأ§أµesâ€. A Credsytem informou ontem (2) em nota que “o impacto direto nas operaأ§أµes da credsystem se restringe apenas ao serviأ§o de Pix, que estأ، temporariamente fora do ar por determinaأ§أ£o do Bacen (Banco Central), porأ©m nossos clientes poderأ£o continuar utilizando normalmente e sem custo o serviأ§o de TED. No momento, estamos colaborando com os envolvidos para o rأ،pido reestabelecimento do serviأ§o†6. Clientes foram afetados? Segundo a BMP, nenhum dos seus clientes foi afetado pelo ataque hacker. “No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituiأ§أ£o jأ، adotou todas as medidas operacionais e legais cabأveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuأzo a sua operaأ§أ£o ou a seus parceiros comerciaisâ€, informa a BMP em nota. Jأ، o Banco Paulista alegou que a falha de seguranأ§a “nأ£o comprometeu dados sensأveis nem gerou movimentaأ§أµes indevidasâ€. O caso serأ، investigado pela PF e pelo Conselho de Controle de Atividades Financeiras (Coaf). O Valor tambأ©m apurou que os recursos podem ser rastreados e que o BC vem atuando com a PF para identificar as pessoas e empresas que receberam os valores. 8. O Pix ainda أ© seguro? Para Alexander Coelho, sأ³cio do Godke Advogados e especialista em ciberseguranأ§a, embora o incidente acenda um alerta, nأ£o “coloca em xeque†a robustez do sistema. “O SPB [Sistema de Pagamentos Brasileiro] e o Pix possuem mأ؛ltiplas camadas de seguranأ§a. O que falhou foi uma ponte especأfica usada por alguns bancosâ€, afirmou em uma entrevista dada anteriormente ao Valor. Por outro lado, para Kleber Carriello, engenheiro consultor sأھnior na Netscout Brasil, o ataque representa um ponto de inflexأ£o para o setor financeiro. “Ele forأ§a uma reavaliaأ§أ£o urgente das polأticas de Gestأ£o de Risco de Terceiros (TPRM), da seguranأ§a do modelo de Banking as a Service (BaaS) e da eficأ،cia dos controles contra a lavagem de dinheiro na intersecأ§أ£o entre o sistema financeiro tradicional e os canais de criptoativosâ€, disse, em uma entrevista dada anteriormente ao Valor.
FONTE
