Falha em protocolo de segurança pode ter sido porta de entrada para ataque hacker bilionário

Pix ficou indisponível para algumas pessoas após o ocorrido; C&M afirma que já reestabeleceu as transações (Por Bruna Arimathea) - imagem divulghação - 

Em comunicado C&M Software afirmou que credenciais legítimas foram roubadas e usadas para ganhar acesso ao sistema.

O ataque hacker que atingiu a C&M Software, empresa de tecnologia que conecta instituições financeiras aos sistemas do Banco Central (BC), na noite de terça-feira, 1º., não foi uma invasão de sistema, e sim, uma tentativa de fraude por meio de credenciais verdadeiras de clientes, informou a empresa nesta quinta-feira, 3. O Estadão/Broadcast apurou que o desvio foi de pelo menos R$ 800 milhões. Fontes do mercado estimam que esse valor possa chegar a R$ 1 bilhão.

De acordo com um comunicado da C&M Software divulgado na tarde desta quinta-feira, 3, o sistema da empresa foi uma “vítima indireta de um ataque que se originou a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas por terceiros mal-intencionados”. Isso significa que criminosos tinham um login de acesso verdadeiro de algum cliente da C&M e que, de posse dessas informações, teve acesso aos dados para realizar as transações.

A empresa presta serviços de tecnologia para instituições financeiras de pequeno porte, que não têm meios de conexão próprios. Logo após ser informado do episódio, o BC determinou que a C&M desligasse o acesso das instituições às suas infraestruturas. Com isso, algumas das empresas afetadas ficam sem acesso ao Pix, por exemplo.

Ainda não está claro, porém, como os criminosos podem ter conseguido as informações como usuário e a senha utilizada para acessar à área da C&M. A empresa ainda afirma que não houve uma invasão direta aos seus sistemas críticos, que seguem “íntegros e operacionais”.

O vazamento da credencial indica falhas nos protocolos de segurança da C&M. Para a Netscout, empresa de cibersegurança, o fato de a credencial ter sido aceita sem maiores verificações no sistema mostra que a companhia provavelmente não usava uma barreira forte o suficiente para impedir uma ação como essa.

“A investigação aponta que o vetor primário foi o ‘uso indevido de credenciais de clientes’. Isso indica que o ponto de entrada não foi uma vulnerabilidade de software de dia zero ou uma falha de codificação complexa, mas sim uma falha fundamental nos processos de Gestão de Identidade e Acesso (IAM). O comprometimento de credenciais válidas permitiu aos invasores se passassem por uma entidade legítima, contornando defesas e operando de dentro de um ambiente confiável. Isso expõe uma fraqueza crítica na higiene de segurança cibernética em todo o ecossistema, abrangendo tanto os provedores de tecnologia quanto seus clientes institucionais”.

Segundo Jéferson Campos, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS), a credencial utilizada para acessar o sistema da empresa pode ter sido obtida por meio de um crime cibernético, como um ataque mais simples e direto à própria cliente ou com métodos de engenharia social, quando criminosos enganam a pessoa dona da credencial comprometida.

“Esse é um aspecto importante da história: foi uma utilização indevida de credenciais. Eles dizem que essas credenciais foram obtidas nessa outra instituição que utiliza os serviços deles e também dão a entender, no contexto da nota, que essa instituição ou que as instituições (que são clientes da C&M) podem escolher que nível de segurança elas utilizam, o que significa que algumas instituições optam por não usar todos os mecanismos que eles oferecem”, explicou o professor.

Uma pista de que os clientes também podem não estar utilizando o grau mais alto de segurança é a mudança no relacionamento da C&M Softwares com os clientes. A partir de agora, algumas recomendações serão obrigatórias, assim como uma nova diretriz, que deve ser implementada pelas instituições.

“Haverá novos requisitos mínimos obrigatórios de segurança para o uso de APIs, acesso a canais e integração de sistemas, com políticas de homologação mais rigorosas”, disse a empresa no comunicado. “A CMSW disponibilizará um checklist de conformidade técnica e recomendações obrigatórias, a serem adotadas por cada cliente para reforço mútuo da segurança”.

Ao todo, a ação criminosa prejudicou pelo menos seis instituições financeiras, como a BMP e a Credsystem. O BC, a Polícia Federal e a Polícia Civil de São Paulo investigam o crime. (Fonte: Estadão)

Notícias FEEB PR