Criminosos tiveram acesso a credenciais. Foto: Depositphotos.
O ataque ao Pix por meio do sistema da Sinqia foi feito usando credenciais legítimas de fornecedores da empresa, revelou a companhia em nota divulgada nesta terça-feira, 2.
No comunicado, a Sinqia abre alguns dos resultados preliminares da investigação forense da empresa sobre a invasão, que resultou na tentativa de desvio de R$ 710 milhões, a maior parte deles do HSBC.
“A empresa acredita que o incidente se limita ao ambiente Pix da Sinqia e não identificou nenhuma atividade não autorizada em nenhum outro sistema Sinqia além do Pix no Brasil. A empresa também não tem indícios de que quaisquer dados pessoais tenham sido comprometidos”, conclui o texto.
Apesar dos progressos na investigação, a Sinqia ainda está bloqueada pelo Banco Central de processar transações no Sistema de Pagamentos Brasileiro (SPB) e do Pix
A Sinqia não chega a abrir quem é o fornecedor do qual os hackers obtiveram as credenciais e como isso pode ter sido feito, apenas que as mesmas já foram encerradas, o que não chega a ser surpreendente.
OS PROBLEMAS SÓ MUDAM DE ENDEREÇO
O ataque à Sinqia é a segunda grande tentativa de roubo usando o Pix, e, pelo visto, a tática dos criminosos é a mesma.
No começo de julho, um ataque à C&M foi facilitado, segundo os investigadores, por um funcionário da empresa que repassou credenciais aos criminosos (por módicos R$ 15 mil).
Naquele caso, foram desviados mais de R$ 800 milhões. Dois meses depois do desvio, o trabalho para rever a totalidade dos recursos ainda continua.
O fato das credenciais nesse caso virem de um fornecedor da Sinqia mostra o quão longa pode ser o que os especialistas chamam de “cadeia de suprimentos” do Pix.
No lugar de focar nos bancos, que gastam uma fortuna em segurança, os criminosos estão focando nos provedores de serviço da área de tecnologia, que não tem tanta bala na agulha.
EMPRESAS DIFERENTES
Uma diferença importante entre os dois ataques é o perfil do serviço oferecido pela C&M e a Sinqia, além da grande diferença de visibilidade entre as duas empresas, o que pode influenciar na extensão do problema e na repercussão do caso.
A C&M tem algumas ferramentas pontuais na área de “core bancário”, como os serviços de mensageria com o Banco Central.
Já a Sinqia tem um portfólio bem maior, produto de dezenas de aquisições diferentes ao longo dos anos, principalmente depois de abrir o capital na bolsa, ainda em 2013.
A empresa é considerada um case de sucesso no mercado de tecnologia brasileiro e acabou comprada em 2023 pela porto-riquenha Evertec, uma multinacional de pagamentos, em uma transação de R$ 2,5 bilhões.
A Evertec tem capital aberto na Bolsa de Nova York e está avaliada em US$ 2,28 bilhões.
Maurício Renner
Editor at Baguete Diário