Hackers invadem empresa do Pix para roubo milionário de contas

Na terça-feira (1º), a empresa C&M Software identificou uma invasão criminosa aos seus servidores. Segundo apuração da imprensa, a ação permitiu que os criminosos tivessem acesso a contas reservas do Banco Central, por onde desviaram mais de R$ 400 milhões, valor que pode chegar a R$ 1 bilhão.

Os hackers utilizaram a companhia como porta de entrada, por meio da qual conseguiram invadir o cadastro de ao menos seis instituições financeiras do país. O valor movimentado por eles seria de contas reservadas mantidas no Banco Central, que são usadas para liquidação interbancária.

Até o fechamento desta reportagem, a empresa tinha confirmado que os clientes das instituições prejudicadas não tiveram suas contas invadidas. Entre os bancos vitimados está o BMP que oferece tecnologia bancária para outras instituições.

A instituição disse que nenhum cliente foi impactado ou teve seus recursos acessados pelos hackers. “A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais”, disse, em comunicado.

Leia mais: Nubank (ROXO34) bloqueia dinheiro de clientes e congela contas; entenda

Já a C&M disse, por meio de nota, que é vítima direta do caso e que os criminosos teriam usado as suas credenciais para acessar as plataformas oficiais. Também informou que reforçou a segurança dos seus sistemas críticos, que permanecem íntegros e operando normalmente.

“Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas”, informou a empresa.

A C&M Software funciona como uma ponte tecnológica entre os bancos e os sistemas de comunicação do Banco Central. Sua principal atuação está no Pix, oferecendo infraestrutura para que as instituições façam envio e recebimento de recursos pela plataforma do BC. 

A cifra total do rombo ainda não foi divulgada, mas, por envolver diversas instituições, pode ser o maior ataque já registrado no país. A lista completa das companhias que foram vítimas também não foi divulgada pela empresa de tecnologia nem pelo Banco Central.

Vazamento de dados

Nos últimos três anos, o Banco Central registrou diversos casos de vazamento de dados atrelados a chaves Pix. Com isso, dados de milhares de brasileiros foram acessados por criminosos digitais. 

O caso mais emblemático aconteceu em 2022, quando 1437 mil chaves atreladas ao programa de vantagens Abastece Aí, do Posto Ipiranga, caíram na mão dos criminosos. Nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta e data de criação da chave Pix foram atingidos.