Na madrugada de segunda-feira (30), foi detectada a ação de um hacker que atacou o sistema que conecta instituições financeiras e o Banco Central para pagamentos em tempo real, incluindo o Pix.
Um executivo da BMP, uma plataforma de “banking as a service“, recebeu um alerta sobre uma transferência suspeita de R$ 18 milhões, conforme informações do Brazil Journal. Imediatamente, ele se dirigiu à sede da empresa.
O executivo contatou a C&M Software, responsável pelo sistema que interliga os bancos ao Banco Central.
No total, foram desviados R$ 541 milhões da BMP. Ao falar com a C&M, o executivo tomou conhecimento da magnitude do roubo em sua empresa.
Contabilizando outras instituições, o valor total é ainda maior. O Banco Central estimou que cerca de R$ 800 milhões foram levados de instituições financeiras ou não. A estimativa atual já ultrapassa R$ 1 bilhão.
O ataque afetou contas reservas das instituições, que funcionam como contas dos bancos junto ao Banco Central, contendo dinheiro da instituição e de clientes, utilizadas para liquidar transações financeiras.
Esse foi o ataque mais sofisticado já registrado. Até onde se sabe, nenhum outro ataque hacker direcionado a instituições financeiras desviou tanto dinheiro e teve um planejamento tão elaborado.
Apesar disso, um suspeito foi detido quatro dias depois. Na última sexta-feira, o Deic (Departamento Estadual de Investigações Criminais) prendeu um dos suspeitos em São Paulo.
O que diz a BMP
Em uma nota oficial, a BMP declarou que “na segunda-feira, foi identificada uma ocorrência de segurança envolvendo a C&M Software – empresa autorizada e supervisionada pelo Banco Central do Brasil, responsável pela mensageria que interliga instituições financeiras ao SPB (Sistema de Pagamentos Brasileiro), incluindo o ambiente de liquidação do Pix“.
Segundo a BMP, o incidente comprometeu a infraestrutura da C&M, permitindo acesso indevido às contas reservas de seis instituições financeiras, incluindo a própria BMP. A empresa enfatizou que essas contas não têm “qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP”.
Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados BMP, em nota.
A BMP também afirmou que tomou todas as medidas operacionais e legais necessárias e possui colaterais suficientes para cobrir integralmente o valor desviado, garantindo que não haverá prejuízo para suas operações ou parceiros comerciais.
