C&M informa sobre incidente de segurança e reforça políticas de proteção

C&M Software anunciou nesta quinta-feira (3) novos detalhes sobre o incidente de segurança que resultou no desvio de pelo menos R$ 800 milhões na última terça-feira (1º), um dos maiores já registrados no sistema financeiro do Brasil.

Em comunicado divulgado em seu site, a empresa negou qualquer responsabilidade pelo ocorrido, esclarecendo que foi alvo de uma ação criminosa externa que partiu da violação do ambiente de um cliente, cujas credenciais de integração foram usadas indevidamente.

Segundo a C&M, não houve invasão direta aos seus sistemas, que permanecem íntegros e operacionais. O ataque foi realizado por meio de simulação fraudulenta, na qual um terceiro utilizou credenciais legítimas de um cliente para acessar serviços como se fosse uma instituição financeira autorizada.

A C&M é uma companhia multinacional que conecta algumas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. Recentemente, a empresa recebeu autorização do Banco Central para retomar parcialmente seus serviços.

A empresa informou que mantém um diálogo técnico avançado com o Banco Central, visando não só resolver o incidente, mas também colaborar na melhoria da governança do sistema de pagamentos. Destaca que está sendo acompanhada de perto pelas autoridades, mas que não existem restrições regulatórias para a operação do Pix.

Algumas ferramentas do sistema Corner, usado pela C&M para integração com a infraestrutura de pagamentos, auxiliam na prevenção de ataques como esse, contudo, os clientes detêm a autonomia para decidir sobre a ativação completa dessas medidas de segurança.

“A ativação dessas funções depende da configuração de cada instituição cliente, e algumas optam por não usar todos os níveis de proteção disponíveis por razões operacionais”, explica a empresa.

A C&M revela ainda que monitora continuamente os acessos e o funcionamento de sua infraestrutura, mas que a responsabilidade pelo uso das credenciais cabe às instituições que as possuem.

Medidas adotadas

Após identificar o ataque, a C&M isolou o ambiente afetado, bloqueou as vias suspeitas, registrou o incidente no Mecanismo Especial de Devolução (MED) do Pix, solicitou o reembolso dos valores desviados e comunicou o fato ao Banco Central e às autoridades policiais, colaborando com as investigações em curso.

A empresa contratou uma auditoria externa independente para avaliar, fortalecer e certificar seus controles de segurança. Além disso, está intensificando as revisões internas de governança e arquitetura com o objetivo de prevenir futuros incidentes.

“Estamos revisando nossas políticas de integração, homologação e governança de APIs e acessos externos com o foco de reduzir riscos compartilhados e estabelecer exigências de segurança mais rígidas para os clientes”, explicam. “Serão implementados novos requisitos obrigatórios de segurança para o uso das APIs, acesso aos canais e integração de sistemas, com políticas de homologação mais rigorosas.”