Ao menos R$ 100 milhões foram levados no ataque hacker contra a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não têm meios de conexão próprios.
Técnicos do BC (Banco Central) e da PF (Polícia Federal) trabalham para levantar o total do prejuízo desde a noite de terça-feira (1º).
A C&M Software é uma empresa autorizada e supervisionada pelo Banco Central do Brasil responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.
À imprensa, a instituição BMP, uma das mais afetadas, informou que o ataque permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a própria BMP, provedora de serviços de “banking as a service”.
A empresa explica que as contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.
“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados”, destacou em nota.
No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição declara que adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.
A C&M Software foi imediatamente desconectada do ambiente por determinação do Banco Central.
A Polícia Federal abriu investigação e o caso está sendo apurado em força-tarefa pela Diretoria de Repressão a Crimes Cibernéticos, em Brasília, para identificar a autoria do ataque, que está sendo chamado como um “assalto virtual”.
Em nota à CNN, a CMSW disse que foi vítima de ação criminosa com uso de credenciais. Veja abaixo:
A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Policia Civil de SP, nas investigações em andamento.
A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços.
Por orientação jurídica e em respeito ao sigilo das apurações, a CMSW não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas.