A CMSW continua colaborando com as autoridades, incluindo o Banco Central e a Polícia Civil de SP, nas investigações em andamento. Fomos alvo de uso indevido de credenciais de clientes, mas todos os sistemas críticos permanecem íntegros e operacionais.
O Banco Central autorizou o restabelecimento do serviço DICT e a retomada controlada do Pix, disponível das 06h30 às 18h30 para clientes que confirmarem formalmente sua anuência.
Informamos ainda que os itens 22 e 29 do Q&A foram atualizados com novas informações sobre o incidente e o processo de retomada.
Q&A – Incidente de Segurança
1. A CMSW foi alvo de um ataque hacker?
Não diretamente. A CMSW foi vítima indireta de um ataque que se originou a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas por terceiros mal-intencionados.
2. Os sistemas da CMSW foram invadidos?
Não. Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais. O que houve foi o uso indevido de integrações legítimas, por meio de credenciais comprometidas de terceiros.
3. A CMSW é responsável pelo incidente?
Não. A CMSW é vítima da ação criminosa, tanto pelo uso fraudulento de seus serviços quanto pela exposição gerada por credenciais externas comprometidas.
4. O Pix foi afetado?
Por cautela e orientação do Banco Central, as conexões do Pix operadas pela CMSW foram temporariamente suspensas, até a conclusão de uma certificação adicional do ambiente dedicado. O Pix em si não foi comprometido estruturalmente.
5. Os demais sistemas operados pela CMSW estão funcionando?
Sim. Todos os demais sistemas do SPB seguem operacionais, pois estão em infraestrutura separada, não afetada pelo incidente.
6. A CMSW movimenta dinheiro ou opera contas próprias?
Não. A CMSW não possui conta transacional nem movimenta valores próprios. Atua exclusivamente como provedora de tecnologia homologada pelo Banco Central.
7. Como o ataque foi executado?
O ataque foi executado a partir de uma simulação fraudulenta de integração, utilizando-se de credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.
8. Houve perda de dados dos clientes?
Até o momento, não há qualquer indício de vazamento ou exposição de dados sensíveis. O ataque visou simular transações, não exfiltrar informações.
9. Que medidas foram tomadas imediatamente?
- Isolamento do ambiente afetado;
- Bloqueio de canais suspeitos;
- Registro no MED (Mecanismo Especial de Devolução);
- Solicitação de estorno dos valores indevidos;
- Comunicação ao BACEN e às autoridades policiais.
- Instauração de Inquérito Policial
10. A CMSW denunciou o caso à polícia?
Sim. Um Boletim de Ocorrência foi lavrado junto à Delegacia de Crimes Cibernéticos, com acompanhamento jurídico especializado e participação ativa no inquérito.
11. A CMSW está colaborando com o Banco Central?
Sim. A CMSW colabora de forma plena e transparente com o Banco Central e segue todas as diretrizes estabelecidas para o caso.
12. O que é o MED e qual sua relação com o caso?
O MED – Mecanismo Especial de Devolução é um protocolo previsto no Pix para devolução de valores em casos de fraude. A CMSW acionou o MED para todos os eventos identificados, com rastreabilidade e documentação.
13. Qual foi o prejuízo financeiro causado pelo incidente?
Os valores mencionados pela imprensa não têm confirmação oficial. A CMSW não confirma valores, pois não é agente financeiro nem parte na titularidade dos recursos.
14. O que está sendo feito para evitar novos incidentes?
A CMSW contratou uma auditoria externa independente para avaliar, reforçar e certificar todos os controles de segurança, além de intensificar as revisões internas de governança e arquitetura.
15. As funcionalidades do Corner contribuem para evitar esse tipo de incidente?
Sim. O Corner oferece há décadas recursos como:
- Alçadas de aprovação;
- Controles de acesso por canal e horário;
- Validação por múltiplos fatores;
- Controle total do Piloto de Reserva.
16. Por que alguns clientes não usam essas funcionalidades?
A ativação dessas funcionalidades é configurável por cada instituição usuária. Algumas optam por não ativar todos os níveis de segurança disponíveis, por decisão operacional própria.
17. A CMSW monitora como os clientes usam sua infraestrutura?
A CMSW monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner.
18. A CMSW considera mudar sua política de integração?
Sim. A empresa está revendo sua política de onboarding, homologação e governança de APIs e acessos externos, com foco em reduzir riscos compartilhados e exigir padrões mais elevados de segurança ativa por parte dos clientes.
19. A CMSW se pronunciará novamente sobre o caso?
Sim, sempre que houver informações relevantes e validadas oficialmente, a CMSW atualizará seus clientes e parceiros pelos canais apropriados, com responsabilidade e clareza.
20. Qual mensagem a CMSW deixa ao mercado neste momento?
A CMSW reafirma que é vítima de uma ação criminosa externa, que todos os sistemas críticos seguem íntegros, e que a empresa atua com total transparência e colaboração com autoridades, clientes e reguladores. Segurança, conformidade e rastreabilidade seguem como pilares inegociáveis de sua operação.
21. Os demais produtos da CMSW, como o Rocket e o Crystal, foram afetados?
Não. Tanto o Rocket quanto o Crystal não foram impactados pelo incidente, pois operam em ambientes segregados, com infraestrutura lógica e física apartada do ambiente envolvido no caso. Além disso, o objetivo da ação criminosa foi direcionado exclusivamente à tentativa de simulação de transações via integrações de um cliente específico no contexto do Pix, sem qualquer relação técnica ou operacional com os demais produtos da companhia.
22. O que significa a autorização do BACEN para retomada do DICT e do Pix?
Significa que, após avaliação técnica, o Banco Central entendeu que o ambiente da CMSW está em condições, estável e apto à operação. A decisão é formal e foi comunicada por meio de ofício oficial.
23. A retomada do Pix será integral?
Inicialmente, o Pix operará das 06h30 às 18h30, com monitoramento intensificado, conforme orientação do BACEN. A liberação completa será progressiva, conforme evolução do acompanhamento técnico, e deverá ocorrer nos próximos dias.
24. A retomada depende de alguma ação do cliente?
Sim. Cada cliente deve manifestar formalmente sua anuência para reativação dos serviços Pix, conforme estabelecido pelo Banco Central.
25.A CMSW continua sob fiscalização ou restrição?
A CMSW permanece em regime de acompanhamento próximo pelas autoridades, mas não há mais impedimento regulatório para a operação do Pix.
26. A CMSW considera buscar reparação por danos à sua imagem?
Sim. A empresa avalia medidas legais cabíveis contra agentes que divulgaram informações incorretas ou que possam ter contribuído para dano reputacional injustificado.
27. O que muda no relacionamento técnico com os clientes a partir de agora?
Haverá novos requisitos mínimos obrigatórios de segurança para o uso de APIs, acesso a canais e integração de sistemas, com políticas de homologação mais rigorosas.
28. Haverá uma nova certificação técnica para os clientes?
A CMSW disponibilizará um checklist de conformidade técnica e recomendações obrigatórias, a serem adotadas por cada cliente para reforço mútuo da segurança.
29. A CMSW está em tratativas futuras com o BACEN para evoluir o modelo de governança?
Sim. Está em curso um diálogo maduro e técnico com o DEINF e outras áreas do Banco Central, visando não apenas solucionar o episódio atual, mas contribuir para o aperfeiçoamento da governança do ecossistema de pagamento.
30.Por que as taxas de devolução das transações fraudulentas foram superiores à média de mercado?
A CMSW, ao identificar rapidamente os indícios de fraude, automatizou a emissão das requisições de devolução por meio do Mecanismo Especial de Devolução (MED), conforme previsto no regulamento do Pix. Esse processo automatizado permitiu que as solicitações fossem feitas de forma tempestiva, dentro do prazo regulatório, e com a documentação correta, resultando em uma taxa de sucesso nas devoluções significativamente superior à média de mercado.
|
