A C&M, uma prestadora de serviços que atende diversas instituições financeiras, confirmou nesta terça-feira, 2, que hackers conseguiram roubar cifras de contas da companhia. O valor exato do roubo ainda não foi confirmado oficialmente, todavia informações apontam para possibilidade de uma perda na casa de R$ 1 bilhão – o que configuraria o maior roubo da história do país.

+Lula defende judicialização do IOF e diz que houve ‘descumprimento do acordo’

Em suma, o que ocorreu foram que hackers invadiram os sistemas da companhia usando credenciais válidas e e exploraram uma vulnerabilidade no sistema de comunicação entre a C&M e o Sistema de Pagamentos Brasileiro (SPB).

Em nota, a C&M diz que “colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de SP, nas investigações em andamento” (veja na íntegra abaixo).

Procurado pela IstoÉ Dinheiro, o Banco Central confirmou a ruptura com a prestadora de serviços já na quarta-feira, 2.

“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, diz a autarquia.

O BC ainda frisou que os sistemas administrados pela instituição não foram afetados.

Nesta quinta, 3, a autarquia emitiu um novo comunicado destacando que a suspensão cautelar da C&M foi substituída por uma suspensão parcial. Segundo o BC, essa decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes.

“As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”, diz a nota.

Em nota assinada pelo diretor comercial Kamal Zogheib, a C&M, por sua vez, disse que obteve autorização para restabelecer as operações do Pix.

“Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados”, disse a nota.

A empresa explicou que foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento, afirmando que colabora ativamente com o BC e a Polícia Civil de São Paulo.

A instituição financeira brasileira BMP havia informado à Reuters na quarta-feira que ela e outras cinco instituições sofreram acesso não autorizado às suas contas reserva durante o ataque.

O que aconteceu?

Os sistemas da C&M foram invadidos e diversas contas foram acessadas, incluindo uma conta da BMP, uma operadora de Banking as a Service (BaaS).

O caso ganhou ainda mais notoriedade dado que a C&M prestava serviços ao Banco Central (BC) e a outras instituições relevantes do sistema financeiro brasileiro.

Ao Brazil Journal, fontes a par do tema afirmaram que os clientes da BMP não terão prejuízo porque a operadora possui um colateral depositado que fornece liquidez perante ao roubo de R$ 1 bilhão.

A C&M Software informou nesta quinta-feira, 3, que seus serviços foram restabelecidos com autorização do Banco Central após um ataque cibernético. Em nota, a empresa informou que obteve autorização para restabelecer as operações do Pix, sob regime de produção controlada.

Dinheiro pode ter sido convertido em criptomoedas

Informações não oficiais e ventiladas na imprensa sugerem que os criminosos teriam convertido o dinheiro roubado em criptomoedas.

Nesse caso, os valores teriam sido movimentados para diferentes plataformas de criptomoedas usando exchanges, sistemas de swap e mesas OTC integradas ao Pix.

Em ao menos um desses casos de envio de remessas, um dos provedores considerou a movimentação atípica, bloqueou transações e alertou a BMP.

Segundo apuração da Folha de S. Paulo, a Smartpay considerou uma movimentação de R$ 100 mil para comprar USDT algo anormal, dado que a companhia foi criada recentemente. A criptomoeda em específico tem o dólar como âncora.

A movimentação foi percebida ainda na madrugada de segunda-feira, 30. A companhia então entrou em contato com a BMP para averiguar o caso.

Quem foi afetado

A C&M atendia diversos clientes.

Até então, três instituições confirmaram que sofreram impacto do ataque hacker: credsystem, Banco Paulista e BMP. A credsystem sofreu impactos diretos e seus clientes perderam acesso ao sistema Pix.

Isso ocorre porque as empresas afetadas ficaram sem acesso ao sistema de pagamentos instantâneo assim que o BC retirou a C&M dos seus sistemas.

O Banco Paulista também teve intercorrências com o Pix, por conta de uma interrupção temporária, mas a falha não gerou movimentações indevidas.

A BMP informou que o ataque envolveu exclusivamente recursos depositados na sua conta reserva no Banco Central, e que já adotou todas as medidas operacionais e legais cabíveis.

A XP informou que não foi afetada.

O que é e o que faz a C&M, alvo do roubo bilionário por ataque hacker

Criada na década de 1990, a C&M Software é uma empresa especializada em sistemas que conectam bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

Dentre os clientes da companhia estão:

  • XP
  • Rico (subsidiária da XP)
  • Banco Carrefour
  • Minerva Foods
  • BMP
  • Banco Paulista
  • Credsystem

No passado a companhia também havia tido contratos com outras grandes companhias do sistema financeiro, como o Nubank – fintech que já não tem contratos com a prestadora de serviços há tempos.

Qual foi o valor?

O valor exato desviado pelos criminosos ainda não foi confirmado. As informações do Brazil Journal, que noticiou o caso em primeira mão com base em apuração com fontes a par do tema, apontam que seria de R$ 1 bilhão.

Apuração do Valor Econômico indica que ao menos R$ 400 milhões foram desviados.

Se confirmado o valor de R$ 1 bilhão, esse ataque hacker terá sido o maior roubo da história do Brasil, superando casos emblemáticos como o assalto ao Banco Central que ocorreu em Fortaleza (CE), em meados de 2005, quando foram levados R$ 164 milhões em dinheiro de cofres da instituição.

Confira a íntegra da nota da C&M

A CMSW informa que, após atuação conjunta com o Banco Central do Brasil, obteve autorização para restabelecer as operações do Pix, sob regime de produção controlada.

A empresa foi vítima de uma ação criminosa, que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento.

Desde o início deste episódio, a CMSW manteve uma postura serena, técnica e colaborativa, confiando plenamente em sua isenção quanto à origem do incidente, mesmo diante de ilações ou tentativas externas de antecipar julgamentos.

Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados.

A CMSW segue colaborando ativamente com o Banco Central e com a Polícia Civil de São Paulo, e continuará respeitando o sigilo das investigações em curso