Pelo menos seis instituições financeiras foram afetadas pelo ataque hacker sofrido pela C&M Software, empresa que presta serviços para instituições provedoras de contas transacionais que não possuem meios de conexão própria, ocorrido na terça-feira (1º/7).
Das seis instituições atingidas, três confirmaram ter sido lesadas. Veja:
- Banco Paulista
- BMP
- Credsystem
As outras três instituições, que são de menor porte, ainda não foram identificadas.
Segundo a polícia, as investigações mostraram que os desvios não atingiram recursos de pessoas físicas.
Leia também
-
Ataque hacker: Justiça bloqueou R$ 270 milhões da conta de criminosos
-
Ataque hacker: após prisão de suspeito, BC nega ligação com empresa
-
Como operador de TI abriu caminho para maior ataque hacker do país
-
Ataque hacker: C&M diz que não foi origem de golpe bilionário
Um operador de T.I da C&M, suspeito de participar do ataque, foi preso na noite dessa quinta-feira (3/7) em investigação conduzida pelo Departamento Estadual de Investigações Criminais (Deic). João Nazareno Roque, de 48 anos, confessou que deu acesso a hackers, por meio da máquina dele, ao sistema sigiloso da empresa. Ele foi preso no bairro Parada de Taipa, na zona norte de São Paulo. Leia mais abaixo.
Posicionamento das empresas atingidas pelo ataque hacker
O Banco Paulista relatou que “uma falha no provedor terceirizado” levou à interrupção temporária do Pix. Segundo nota do banco, suas equipes técnicas vêm trabalhando em parceria com o BC para o restabelecimento do serviço o mais rápido possível.
“A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, afirmou o Banco Paulista, por meio de nota.
Já a BMP é uma provedora de serviços de “banking as a service” e, no ano passado, reportou uma receita bruta de R$ 804 milhões e um lucro líquido de R$ 231 milhões. Também por meio de nota, a empresa afirmou que nenhum cliente foi atingido no ataque hacker.
“No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, diz o comunicado.
A companhia diz, ainda, que continua operando normalmente, “com total segurança”, e “reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.
A Credsystem, que se apresenta como uma empresa que oferece soluções financeiras para o varejo, informou, na quarta-feira (2/7), que o impacto em suas operações se limitava ao serviço de Pix, que estava “temporariamente fora do ar por determinação do BC”. A empresa informou ainda que colabora para o rápido restabelecimento do serviço.
Prisão de suspeito
O Deic, por meio da 2ª Delegacia da Divisão de Crimes Cibernéticos, cumpriu mandado de prisão e buscas em desfavor de um dos autores da maior invasão de dispositivo eletrônico do país, que resultou em prejuízo milionário. Um inquérito policial foi instaurado para apuração de um esquema de furto qualificado por meio eletrônico, através de operações fraudulentas via Pix, contra a empresa BMP Instituição de Pagamento S/A, resultando em um prejuízo de aproximadamente R$ 541 milhões.
Veja o momento da prisão:
Polícia Civil prende o hacker João Nazareno Roque, que desviou bilhões via Pix
Reprodução
Polícia Civil prende o hacker João Nazareno Roque, que desviou bilhões via Pix
Reprodução
Polícia Civil prende o hacker João Nazareno Roque, que desviou bilhões via Pix
Reprodução
Homem preso pela Polícia Civil de São Paulo
TV Globo/Reprodução
No decorrer das investigações, foi possível identificar que um funcionário da empresa C&M, que custodia/acautela transações via PIX entre a BMP e o Banco Central, estaria envolvido no esquema, facilitando que demais indivíduos realizassem transferências eletrônicas em massa.
Banco Central desligou conexões da C&M
Há relatos de que os criminosos teriam desviado, inicialmente, ao menos R$ 400 milhões ao invadir os sistemas da empresa e acessar contas de instituições financeiras, entre elas a BMP, uma provedora de serviços bancários digitais.
A C&M confirmou ao Metrópoles que foi vítima direta do ataque e afirmou, em nota, que os sistemas críticos seguem funcionando normalmente. A empresa também disse estar colaborando com as autoridades, como o Banco Central e a Polícia Civil de São Paulo.
O Banco Central, por sua vez, determinou o desligamento das conexões da C&M com instituições afetadas, como medida preventiva. A BMP informou que o ataque atingiu apenas recursos de sua conta reserva no BC e que nenhum cliente foi prejudicado.