Software afirma que sistema foi invadido com uso de credenciais reais e sem vazamento de dados de clientes
A empresa C&M Software confirmou nesta quinta-feira (3.jul.2025) que um ataque hacker provocou o desvio de aproximadamente R$ 400 milhões de contas que instituições financeiras mantinham no Banco Central (BC). Segundo a empresa, o ataque não envolveu vazamento de dados de clientes ou bancos, e foi realizado por meio de simulação de transações com uso de credenciais válidas.
A invasão ocorreu na noite de terça-feira (1º.jul) e foi divulgada publicamente apenas na quarta-feira (2.jul). Os criminosos utilizaram logins de instituições financeiras para movimentar recursos das contas reservas mantidas no BC, em cumprimento de obrigações legais. Os valores foram transferidos via Pix para corretoras de criptomoedas.
A C&M explicou que o ataque ocorreu através de uma simulação fraudulenta de integração, que usou credenciais reais de um cliente para acessar os serviços como se fosse uma instituição financeira regular. A companhia afirmou que não houve tentativa de invasão aos sistemas internos da empresa.
A empresa informou que vai revisar a política de acessos externos e de APIs, ampliando os padrões de homologação exigidos dos clientes. Também contratou uma auditoria independente para avaliar e reforçar os controles de segurança.
A principal hipótese considerada para a invasão é a não ativação de todas as etapas de segurança oferecidas pela C&M. Segundo a empresa, os clientes têm autonomia para configurar os controles de acesso e podem optar por eliminar determinadas camadas de proteção.
A C&M reforçou que monitora os acessos técnicos, mas que a responsabilidade pelo uso das credenciais é das instituições financeiras. O sistema utilizado, denominado Corner, permite controle por canal, horário e fatores múltiplos de autenticação.
Na manhã desta quinta-feira, o Banco Central autorizou o restabelecimento parcial das operações Pix da C&M, sob regime de produção controlada. As operações estão autorizadas em dias úteis, das 6h30 às 18h30, mediante anuência expressa da instituição participante e fortalecimento do monitoramento de fraudes e limites transacionais.
A empresa não divulgou quanto já foi recuperado, mas informou que parte dos valores foi devolvida através do Mecanismo Especial de Devolução (MED), criado para ressarcir fraudes no Pix. A C&M também comunicou que está colaborando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo.
Segundo a C&M, a infraestrutura do Sistema de Pagamentos Brasileiro (SPB) funciona em módulos separados e não foi afetada em outras operações. A empresa afirma que não possui contas próprias transnacionais nem movimenta recursos financeiros, atuando apenas como provedora de tecnologia homologada pelo BC.
Foto: Marcello Casal Jr./Agência Brasil
Siga o Por Dentro do RN também no Instagram e mantenha-se informado.
