A C&M Software, provedora de tecnologia homologada pelo Banco Central e responsável por operar serviços como o Pix e o Sistema de Pagamentos Brasileiro (SPB), anunciou “medidas rigorosas” para reforçar sua segurança após um ataque hacker ocorrido na última semana. A empresa contratou uma auditoria externa independente e revisa suas políticas de integração e governança de APIs. Também estuda impor novos requisitos mínimos obrigatórios de segurança para clientes que utilizam suas plataformas.
Segundo o portal G1, a Polícia Civil de São Paulo prendeu hoje João Nazareno Roque, funcionário da empresa. Ele quem teria dado acesso, pela sua máquina, ao sistema sigiloso para os hackers que efetuaram o ataque.
As ações são uma resposta ao incidente em que criminosos utilizaram credenciais comprometidas de um cliente para simular transações financeiras. A C&M esclareceu que seus sistemas não foram diretamente invadidos e permanecem íntegros e operacionais. “Não houve invasão aos sistemas da CMSW. O que ocorreu foi o uso indevido de integrações legítimas, com credenciais comprometidas de terceiros”, informou a companhia.
Por cautela e orientação do Banco Central, a empresa suspendeu temporariamente as conexões do Pix. Após avaliação técnica, o regulador autorizou a retomada controlada do serviço, inicialmente com funcionamento das 6h30 às 18h30 e mediante anuência formal dos clientes.
Leia também
Ação criminosa
A companhia garante que, “até o momento, não há indícios de vazamento de dados sensíveis” e afirma que a ação criminosa teve como objetivo apenas simular transações, não extrair informações. A C&M também enfatizou que não movimenta recursos próprios nem opera contas transacionais.
Entre as providências tomadas após o ataque estão o isolamento do ambiente afetado, bloqueio de canais suspeitos, acionamento do Mecanismo Especial de Devolução (MED) e notificação imediata ao Banco Central e às autoridades policiais. A C&M registrou um boletim de ocorrência Delegacia de Crimes Cibernéticos, e a empresa segue colaborando com a Polícia Civil de São Paulo e o regulador federal.
A C&M avalia ainda ações legais contra agentes que divulgaram informações consideradas incorretas sobre o episódio. “Somos vítimas de uma ação criminosa externa e estamos atuando com total transparência e colaboração com autoridades, clientes e reguladores”, afirmou a companhia.
