O sistema financeiro brasileiro viveu um dos seus episódios mais graves no início desta semana: um ataque cibernético à C&M Software, empresa responsável por conectar fintechs e bancos ao Sistema de Pagamentos Brasileiro (SPB), afetou as contas reservas de algumas instituições, entre elas, a BMP.
Foto: reprodução / Pinterest
Segundo apurações iniciais, hackers acessaram o ambiente da C&M, que é uma das sete empresas autorizadas pelo Banco Central a operar como PSTI – responsável pela mensageria de ordens entre as instituições e o BC, incluindo o sistema do Pix, que acabou sendo explorado para a realização de múltiplas transferências em questão de minutos.
Apesar da gravidade do caso, a BMP afirma que nenhum cliente final foi afetado. Os recursos desviados estavam na conta reserva usada exclusivamente para liquidações interbancárias. A empresa destaca que os seus sistemas permaneceram intactos e que tomou imediatamente as providências legais, operacionais e tecnológicas para mitigar os danos.
“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados. Seguimos operando normalmente, com total segurança”
O CEO da BMP, Carlos Benitez, também se pronunciou em seu perfil no LinkedIn:
“Mesmo diante do pior ataque hacker de todos os tempos, a BMP demonstrou sua solidez. 100% dos recursos dos nossos correntistas foram protegidos. Seguimos firmes, ainda mais preparados”
Descoberta e consequências
Um executivo da BMP teria ligação de um banco alertando sobre uma transferência atípica no valor de 18 milhões de reais feita via Pix. Poucas horas depois, a empresa havia perdido 400 milhões de reais, valor retirado diretamente de sua conta reserva no Banco Central, de acordo com fontes ouvidas por veículos como o Brazil Journal e o Seu Dinheiro.
Segundo apuração da Let’s Money, a BMP já conseguiu recuperar aproximadamente 150 milhões de reais, parte deles com o uso do Mecanismo Especial de Devolução (MED), protocolo criado pelo BC para estornar transações via Pix em casos de fraude.
A brecha não teria decorrido de de uma falha técnica convencional ou vulnerabilidade pública de software, mas sim do uso indevido de credenciais de clientes, um problema ligado à gestão de identidade e acesso. Informações iniciais apontam que os criminosos entraram pelo o que seria a “porta da frente”: se autenticaram com chaves legítimas roubadas. É possível que tenham ocorrido falhas em módulos de segurança como o HSM (Hardware Security Module), que deveria impedir o uso indevido de chaves privadas.
Com esse acesso, os hackers conseguiram emitir ordens de pagamento a partir de contas reservas, fundos institucionais mantidos diretamente no Banco Central. Como consequência, além da BNP outras cinco instituições, incluindo o Bradesco e a Credsystem, também teriam sido afetadas.
