Entenda o ataque hacker à empresa que conecta bancos ao Pix em 8 pontos | Finanças

Segundo fontes, criminosos teriam explorado vulnerabilidades técnicas de um prestador de serviços do Pix para acessar as reservas financeiras mantidas no Banco Central (BC) e causar um prejuízo significativo.

As investigações foram abertas na última quarta-feira pela Polícia Federal (PF). O Valor separou 8 pontos para entender o ataque hacker a prestadora de serviços do Pix. Veja abaixo:

A quantia exata ainda não foi revelada, mas estimativas de fontes a par do assunto apontam que o valor pode ter chegado a R$ 400 milhões, apurou o Valor.

Os criminosos teriam acessado contas reservas mantidas por seis instituições financeiras junto ao Banco Central, segundo fontes. Todas elas usavam o banking as a service da C&M Software, alvo do ataque. A Credsystem e a BMP confirmaram que foram afetadas.

Há indícios de que parte dos valores roubados foi convertida rapidamente em criptoativos. Isso significa que será necessária uma colaboração internacional para que seja feito o rastreamento dos valores.

Ainda assim, uma pequena fração do dinheiro desviado teria sido recuperada pelas instituições afetadas, via MED, mecanismo especial de devolução do Pix.

As investigações tentarão esclarecer esse ponto. As primeiras informações sugerem que o roubo, ocorrido na segunda-feira (30), teria sido cometido por uma pessoa ou um grupo de hackers que exploraram uma vulnerabilidade da C&M Software, empresa que presta serviços para o setor e se conecta com a infraestrutura do Pix.

As primeiras informações de um ataque hacker começaram a circular no mercado na noite de terça-feira (1) e foram confirmados pelo Banco Central na quarta-feira (4).

A empresa que sofreu o ataque cibernético foi a C&M Software, que atua no setor de pagamentos em tempo real.

Fundada em 1999 por Orli Machado, a C&M foi autorizada pelo BC em 2001 a operar como prestadora de serviços de tecnologia da informação (PSTI) para o setor financeiro. Ela também teria participado informalmente, como consultora, da criação do Pix.

A companhia é especializada em integrar instituições financeiras ao sistema do Pix e, segundo informações próprias, ela detém atualmente 23% do mercado (“market share”).

A C&M informou que está colaborando ativamente com as investigações das autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo.

“A empresa foi vítima de uma ação criminosa, que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento. Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados”, disse a companhia em nota.

As investigações acabaram de ser abertas pela PF, mas especialistas consultados pelo Valor acreditam que o crime pode ter acontecido dentro da sede da C&M. Há indícios de que a falha principal foi em um sistema de hardware, ou seja, em um dispositivo físico.

Como integradora, a C&M atua conectando instituições financeiras ao Sistema de Pagamentos Instantâneos (SPI) do Banco Central. A estrutura do SPI exige camadas de segurança, tanto em hardware quanto em software.

Especialistas acreditam que a principal falha tenha sido uma má configuração na camada de módulos de segurança de hardware (HSM, na sigla em inglês). Esse pode ser um indício de que houve ajuda interna para burlar as credenciais de segurança.

O HSM é um dispositivo físico projetado para proteger e gerenciar chaves criptográficas.

“Pelo tamanho da operação, acredito que não foi um ‘brute force’ [quando se utiliza tentativa e erro para quebrar as camadas de segurança] para poder entrar nas máquinas, então o pessoal já tem uma visão um pouco diferente, de que teria que ter um acesso interno”, diz Miller Augusto, CEO da Ivy, holding especializada em consultoria em soluções tecnológicas, em entrevista dada anteriormente ao Valor.

Apesar da separação entre hardware e software, os sistemas funcionam de maneira integrada. O hardware sem o software é como um dispositivo desligado. A especulação é que, no software, tenha ocorrido uma má configuração na camada de Gerenciamento de Identidade e Acesso (IAM, na sigla em inglês),

Porém, para Alberto Leite, CEO do Grupo FS, o envolvimento de um “insider” (interno, alguém da C&M) parece menos provável. “Geralmente, os atacantes exploram vulnerabilidades em APIs [interface de programação de aplicações], falhas na autenticação ou permissões excessivas. Os hackers podem ter usado engenharia social para obter credenciais ou malware [software malicioso] para se infiltrar”, afirmou em uma entrevista dada anteriormente ao Valor.

Alexis Aguirre, diretor da CyberGate no Brasil, tem opinião parecida. Para ele, a falha não parece ter sido no HSM, mas em módulos adicionais de segurança no IAM, como a autenticação de multifatores.

Depois que os criminosos conseguiram o acesso, fraudaram as credenciais de comunicação com as instituições financeiras para desviar dinheiro.

5. Quais instituições foram afetadas?

Segundo relatos, os criminosos usaram a porta de entrada da C&M e teriam acessado contas reservas mantidas por seis instituições financeiras junto ao Banco Central. A C&M foi imediatamente desconectada do ambiente do Banco Central, mas seus serviços já foram restabelecidos na manhã desta quinta-feira (03), mas com restrições.

Entre as empresas afetadas está a BMP, que já se manifestou sobre o assunto. Credsystem e Banco Paulista tiveram as suas operações com o Pix interrompidas ontem, mas não chegaram a confirmar se foram ou não vítimas do ataque hacker.

Há relatos também que o problema teria atingido Banco Carrefour e a cooperativa Credufes, que procurados, não se manifestaram. O Bradesco também teria contrato com a C&M, mas não dependeria dela para o Pix e não foi afetado pelo incidente.

A BMP afirma que segue operando normalmente, “com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.

A Credsytem informou ontem (2) em nota que “o impacto direto nas operações da credsystem se restringe apenas ao serviço de Pix, que está temporariamente fora do ar por determinação do Bacen (Banco Central), porém nossos clientes poderão continuar utilizando normalmente e sem custo o serviço de TED. No momento, estamos colaborando com os envolvidos para o rápido reestabelecimento do serviço”

6. Clientes foram afetados?

Segundo a BMP, nenhum dos seus clientes foi afetado pelo ataque hacker.

“No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais”, informa a BMP em nota.

Já o Banco Paulista alegou que a falha de segurança “não comprometeu dados sensíveis nem gerou movimentações indevidas”.

O caso será investigado pela PF e pelo Conselho de Controle de Atividades Financeiras (Coaf).

O Valor também apurou que os recursos podem ser rastreados e que o BC vem atuando com a PF para identificar as pessoas e empresas que receberam os valores.

8. O Pix ainda é seguro?

Para Alexander Coelho, sócio do Godke Advogados e especialista em cibersegurança, embora o incidente acenda um alerta, não “coloca em xeque” a robustez do sistema. “O SPB [Sistema de Pagamentos Brasileiro] e o Pix possuem múltiplas camadas de segurança. O que falhou foi uma ponte específica usada por alguns bancos”, afirmou em uma entrevista dada anteriormente ao Valor.