C&M divulga novas informações sobre incidente de segurança e garante revisão de políticas

A C&M Software divulgou na tarde desta quinta-feira, 3, novas informações sobre o incidente de segurança que resultou em um desvio de ao menos R$ 800 milhões na última terça-feira, 1º, um dos maiores já registrados no sistema financeiro do País.

Em um artigo publicado no seu site, a empresa nega responsabilidade pelo incidente e diz que foi vítima de uma "ação criminosa externa", originada a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas.

"A CMSW é vítima da ação criminosa, tanto pelo uso fraudulento de seus serviços quanto pela exposição gerada por credenciais externas comprometida", diz a empresa. "Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais."

Segundo a prestadora de serviços, o ataque foi executado a partir de uma simulação fraudulenta de integração, em que um terceiro usou as credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.

A C&M é uma multinacional que interliga algumas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), inclusive o Pix. Mais cedo, a empresa obteve autorização do Banco Central para retomar parcialmente a prestação de serviços.

A C&M disse que conduz um "diálogo maduro e técnico" com o Banco Central não apenas para solucionar este episódio, mas para contribuir com o aperfeiçoamento da governança do ecossistema de pagamentos. Informou, ainda, que "permanece em regime de acompanhamento próximo pelas autoridades, mas não há mais impedimento regulatório para a operação do Pix."

A empresa afirma, ainda, que algumas funcionalidades do "Corner", o seu sistema de integração para a infraestrutura de pagamentos, ajudam a evitar esse tipo de incidente, mas que seus clientes têm autonomia para não usar todas as seguranças

"A ativação dessas funcionalidades é configurável por cada instituição usuária. Algumas optam por não ativar todos os níveis de segurança disponíveis, por decisão operacional própria", diz a nota.

A empresa afirma, ainda, que monitora o funcionamento técnico e os acessos à sua infraestrutura, mas que a responsabilidade pelo uso das credenciais é das instituições que as detêm.

Medidas

Na nota, a C&M informa que, após tomar conhecimento do ataque, isolou o ambiente afetado, bloqueou canais suspeitos, registrou o ocorrido no Mecanismo Especial de Devolução (MED) do Pix, solicitou o estorno dos valores indevidos e comunicou o incidente ao BC e às autoridades policiais. A empresa diz estar colaborando com as investigações.

A prestadora de serviços diz que contratou uma auditoria externa independente para avaliar, reforçar e certificar seus controles de segurança. Além disso, pretende intensificar as revisões internas de governança e arquitetura, com o objetivo de evitar novos incidentes.

"A empresa está revendo sua política de onboarding, homologação e governança de APIs e acessos externos, com foco em reduzir riscos compartilhados e exigir padrões mais elevados de segurança ativa por parte dos clientes", acrescenta a C&M. "Haverá novos requisitos mínimos obrigatórios de segurança para o uso de APIs, acesso a canais e integração de sistemas, com políticas de homologação mais rigorosas."