Fundada em 1992, a C&M é uma das principais fornecedoras de serviços de mensagens para bancos e fintechs que não possuem conexão direta com o Banco Central.
A companhia confirmou que foi vítima de um ataque hacker e, no Bradil estima-se que o valor desviado pode ter chegado à cifra de R$ 1 biliao.
Ainda não há confirmação oficial sobre o montante exato, mas fontes indicam que os criminosos tiveram acesso a múltiplas contas e iniciaram transferências em cadeia por meio do sistema do Pix.
Entre as instituições mais atingidas está a BMP, provedora de soluções de banking as a service (BaaS), em operação desde 1999.
Em comunicado, a empresa afirmou que o ataque afetou exclusivamente os recursos da sua conta de reserva no Banco Central, sem impacto sobre os clientes finais.
“A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, declarou a BMP.
O Banco Central também se manifestou num comunicado oficial, onde informou que a C&M comunicou o incidente e que, como medida de segurança, foi determinado o desligamento do acesso das instituições às infraestruturas operadas pela empresa.
Os sistemas próprios do BC continuam íntegros e não foram invadidos.
Segundo relatos iniciais, os hackers usaram credenciais legítimas de clientes da C&M para acessar os sistemas de mensageria e efetuar transferências não autorizadas.
A empresa reconheceu a violação: “A C&M foi vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços” e disse que, por orientação jurídica e respeito ao sigilo das apurações, não comentará os detalhes do caso, mas garantiu que “todos os seus sistemas críticos seguem íntegros e operacionais” e que as medidas de segurança foram executadas conforme protocolo.