Entenda como ataque hacker desviou milhões da empresa que opera o PIX

Um ataque cibernético direcionado à Sinqia, empresa que integra bancos ao sistema PIX, na última sexta-feira, 29, resultou no desvio de cerca de R$ 710 milhões em transações não autorizadas.

Segundo relatório da Evertec, controladora da Sinqia, enviado à SEC (Comissão de Valores Mobiliários dos Estados Unidos), os bancos mais impactados foram o HSBC, com aproximadamente R$ 670 milhões desviados, e a fintech Artta, com R$ 41 milhões.

O Banco Central (BC) não se manifestou imediatamente à reportagem, mas de acordo com informações apuradas pelo g1, foram bloqueados cerca de R$ 589 milhões, o equivalente a 83% do total subtraído.

Apesar da gravidade, a Sinqia garante que “a infraestrutura central do PIX não foi comprometida e segue operando normalmente”. A invasão atingiu apenas os servidores da empresa que se conectam ao BC. Assim que percebeu a tentativa de acesso indevido, a autoridade monetária suspendeu a conexão da Sinqia com a rede do sistema financeiro nacional, prevenindo que outras instituições fossem afetadas.

No documento enviado à SEC, a Evertec detalha que, ao identificar a atividade suspeita, suspendeu imediatamente o processamento de transações e acionou especialistas externos em segurança cibernética, seguindo seu protocolo de resposta a incidentes. “Parte desse valor [R$ 710 milhões] foi recuperada e esforços adicionais de recuperação estão em andamento”, afirma a empresa, ressaltando que as transações afetadas envolviam operações entre empresas (B2B).

Como ocorreu o ataque

Investigações preliminares apontam que os hackers utilizaram credenciais de fornecedores legítimos de tecnologia da informação (TI) para inserir transações fraudulentas no ambiente PIX da Sinqia, afetando especialmente HSBC e Artta.

"A Sinqia encerrou o acesso a essas credenciais", confirma o relatório da empresa.

O episódio lembra outro ataque significativo registrado em julho, quando a C&M Software (CMSW), responsável por conectar bancos menores ao PIX, teve suas infraestruturas invadidas com o uso de credenciais de clientes. Na época, a Polícia Civil rastreou o acesso até João Nazareno Roque, ex-funcionário da CMSW, que teria fornecido suas credenciais para facilitar a ação criminosa.

Reações das instituições afetadas

O HSBC informou que nenhuma conta de clientes foi comprometida e que “medidas foram tomadas para bloquear as transações suspeitas”.

Já a Artta esclareceu que o ataque atingiu apenas contas mantidas junto ao Banco Central para liquidação interbancária, sem afetar clientes da fintech. “Não houve ataque ao ambiente da Artta nem às contas de nossos clientes. As contas envolvidas são mantidas junto ao Banco Central e utilizadas exclusivamente para liquidação interbancária", afirmou a empresa.

Posicionamento da Sinqia

A Sinqia afirmou que “No dia 29 de agosto, a Sinqia detectou atividade suspeita no ambiente PIX. Nossa equipe agiu rapidamente e iniciou uma investigação para determinar a causa do incidente. Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras.”

A empresa também destacou que “Neste momento, verificamos que o incidente se limita apenas ao ambiente PIX. Não há evidências de atividade suspeita em nenhum outro sistema da Sinqia além do PIX e esse problema afeta apenas a Sinqia no Brasil. Além disso, neste momento, não temos indicação de que quaisquer dados pessoais tenham sido comprometidos.”

Por fim, sobre as medidas adotadas, a Sinqia afirmou: “Enquanto nossa investigação ainda está em andamento, colocamos em prática um plano detalhado para alcançar uma restauração completa. Primeiro, isolamos o ambiente PIX de todos os outros sistemas da Sinqia e o desconectamos proativamente do Banco Central, enquanto conduzimos nossa análise.”