A CMSW continua colaborando com as autoridades, incluindo o Banco Central e a Polícia Civil de SP, nas investigações em andamento. Fomos alvo de uso indevido de credenciais de clientes, mas todos os sistemas críticos permanecem íntegros e operacionais.
O Banco Central autorizou o restabelecimento do serviço DICT e a retomada controlada do Pix, disponível das 06h30 às 18h30 para clientes que confirmarem formalmente sua anuência.
Informamos ainda que os itens 22 e 29 do Q&A foram atualizados com novas informações sobre o incidente e o processo de retomada.
Q&A – Incidente de Segurança
1. A CMSW foi a origem do incidente?
Não. A CMSW não foi a origem do incidente. Até o momento, os elementos apurados pelas autoridades e pelas investigações independentes contratadas indicam que o episódio teve início com o compartilhamento indevido de credenciais por parte de um colaborador, induzido por terceiros por meio de técnicas de engenharia social. Evidências também sugerem que, para a efetivação do acesso indevido, pode ter havido o uso combinado de outras credenciais além das pessoais, o que reforça a complexidade da ação fraudulenta.
2. O que é engenharia social e como ela foi usada neste caso?
Engenharia social é uma técnica de manipulação que explora aspectos humanos para obter acesso a informações ou sistemas. Neste caso, conforme relato prestado à autoridade policial, o colaborador da CMSW foi abordado fora do ambiente da empresa por um terceiro que se apresentou como “ligado a hackers” e lhe prometeu benefício financeiro. O acesso começou com suas credenciais pessoais, mas há indícios de que foram utilizadas credenciais adicionais ou mecanismos de autenticação auxiliares, o que está em análise técnica.
3. Os sistemas da CMSW foram invadidos?
Não. Não houve invasão externa ou violação técnica da infraestrutura da CMSW. O incidente ocorreu por meio da exploração de credenciais legítimas, fornecidas indevidamente por um colaborador, em contexto externo à empresa. As evidências indicam que, além das credenciais pessoais, outros acessos possam ter sido envolvidos. A estrutura de segurança da CMSW permaneceu íntegra e foi essencial para a rápida contenção e investigação do ocorrido.
4. O colaborador agiu com má-fé ou foi vítima?
A CMSW não se pronuncia sobre a responsabilidade individual do colaborador, respeitando o devido processo legal. O que está documentado é que ele foi abordado fora da empresa, persuadido por terceiros e induzido a colaborar mediante promessa de recompensa financeira. As investigações apontam que suas credenciais foram exploradas inicialmente, e há sinais de que credenciais adicionais foram envolvidas posteriormente.
5. A CMSW está colaborando com as investigações?
Sim. Desde o primeiro momento, a CMSW tem atuado em cooperação plena com a Polícia, o Banco Central e demais autoridades envolvidas. Toda a documentação pertinente, incluindo logs, evidências técnicas, registros internos e perícia forense, foi compartilhada, de forma transparente e responsável.
6. Houve falha técnica ou vulnerabilidade nos sistemas da CMSW?
Não. As análises conduzidas até o momento não identificaram qualquer falha técnica ou vulnerabilidade nos sistemas da CMSW. O episódio se deu a partir do uso não autorizado de credenciais legítimas. Além das credenciais do colaborador, há indícios de que outros meios de autenticação possam ter sido explorados. A resposta rápida da empresa só foi possível graças à arquitetura robusta de segurança.
7. Os produtos Rocket e Crystal foram afetados?
Não. Os produtos Rocket e Crystal operam em ambientes logicamente separados da infraestrutura afetada pelo incidente. Eles permaneceram íntegros, estáveis e 100% operacionais ao longo de todo o período.
8. O que foi feito para conter o incidente?
A CMSW adotou diversas medidas imediatas e estruturadas, incluindo:
• Isolamento do ambiente comprometido;
• Revogação de credenciais e chaves;
• Acionamento do Mecanismo Especial de Devolução (MED);
• Solicitação de reversão dos valores indevidos;
• Comunicação formal às autoridades competentes;
• Contratação de análise forense externa;
• Notificação proativa a todos os clientes, impactados ou não.
9. Como foi possível rastrear a origem do incidente?
A arquitetura de segurança da CMSW, aliada a mecanismos de monitoramento contínuo, permitiu a rápida identificação da origem do acesso irregular. De forma adicional, a integração do sistema técnico de auditoria com as câmeras de vigilância física possibilitou a vinculação entre os eventos digitais e a presença física no ambiente, fortalecendo as evidências encaminhadas às autoridades. Esse nível de rastreabilidade foi essencial para subsidiar as investigações em andamento.
10. O colaborador envolvido ainda trabalha na CMSW?
Não. O colaborador atuava na CMSW desde 2022 e foi desligado da empresa logo após a apuração inicial dos fatos. A decisão foi tomada com base nos elementos técnicos coletados, de forma criteriosa e alinhada aos procedimentos internos da companhia. Por respeito à legislação trabalhista e ao devido processo legal, a CMSW não comentará detalhes adicionais sobre a relação contratual encerrada
11. A CMSW está colaborando com o Banco Central?
Sim. A CMSW colabora de forma plena e transparente com o Banco Central e segue todas as diretrizes estabelecidas para o caso.
12. O que é o MED e qual sua relação com o caso?
O MED – Mecanismo Especial de Devolução é um protocolo previsto no Pix para devolução de valores em casos de fraude. A CMSW acionou o MED para todos os eventos identificados, com rastreabilidade e documentação.
13. Qual foi o prejuízo financeiro causado pelo incidente?
Os valores mencionados pela imprensa não têm confirmação oficial. A CMSW não confirma valores, pois não é agente financeiro nem parte na titularidade dos recursos.
14. O que está sendo feito para evitar novos incidentes?
A CMSW contratou uma auditoria externa independente para avaliar, reforçar e certificar todos os controles de segurança, além de intensificar as revisões internas de governança e arquitetura.
15. As funcionalidades do Corner contribuem para evitar esse tipo de incidente?
Sim. O Corner oferece há décadas recursos como:
- Alçadas de aprovação;
- Controles de acesso por canal e horário;
- Validação por múltiplos fatores;
- Controle total do Piloto de Reserva.
16. Por que alguns clientes não usam essas funcionalidades?
A ativação dessas funcionalidades é configurável por cada instituição usuária. Algumas optam por não ativar todos os níveis de segurança disponíveis, por decisão operacional própria.
17. A CMSW monitora como os clientes usam sua infraestrutura?
A CMSW monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner.
18. A CMSW considera mudar sua política de integração?
Sim. A empresa está revendo sua política de onboarding, homologação e governança de APIs e acessos externos, com foco em reduzir riscos compartilhados e exigir padrões mais elevados de segurança ativa por parte dos clientes.
19. A CMSW se pronunciará novamente sobre o caso?
Sim, sempre que houver informações relevantes e validadas oficialmente, a CMSW atualizará seus clientes e parceiros pelos canais apropriados, com responsabilidade e clareza.
20. Qual mensagem a CMSW deixa ao mercado neste momento?
A CMSW reafirma que é vítima de uma ação criminosa externa, que todos os sistemas críticos seguem íntegros, e que a empresa atua com total transparência e colaboração com autoridades, clientes e reguladores. Segurança, conformidade e rastreabilidade seguem como pilares inegociáveis de sua operação.
21. Os demais produtos da CMSW, como o Rocket e o Crystal, foram afetados?
Não. Tanto o Rocket quanto o Crystal não foram impactados pelo incidente, pois operam em ambientes segregados, com infraestrutura lógica e física apartada do ambiente envolvido no caso. Além disso, o objetivo da ação criminosa foi direcionado exclusivamente à tentativa de simulação de transações via integrações de um cliente específico no contexto do Pix, sem qualquer relação técnica ou operacional com os demais produtos da companhia.
22. O que significa a autorização do BACEN para retomada do DICT e do Pix?
Significa que, após avaliação técnica, o Banco Central entendeu que o ambiente da CMSW está em condições, estável e apto à operação. A decisão é formal e foi comunicada por meio de ofício oficial.
23. A retomada do Pix será integral?
Inicialmente, o Pix operará das 06h30 às 18h30, com monitoramento intensificado, conforme orientação do BACEN. A liberação completa será progressiva, conforme evolução do acompanhamento técnico, e deverá ocorrer nos próximos dias.
24. A retomada depende de alguma ação do cliente?
Sim. Cada cliente deve manifestar formalmente sua anuência para reativação dos serviços Pix, conforme estabelecido pelo Banco Central.
25.A CMSW continua sob fiscalização ou restrição?
A CMSW permanece em regime de acompanhamento próximo pelas autoridades, mas não há mais impedimento regulatório para a operação do Pix.
26. A CMSW considera buscar reparação por danos à sua imagem?
Sim. A empresa avalia medidas legais cabíveis contra agentes que divulgaram informações incorretas ou que possam ter contribuído para dano reputacional injustificado.
27. O que muda no relacionamento técnico com os clientes a partir de agora?
Haverá novos requisitos mínimos obrigatórios de segurança para o uso de APIs, acesso a canais e integração de sistemas, com políticas de homologação mais rigorosas.
28. Haverá uma nova certificação técnica para os clientes?
A CMSW disponibilizará um checklist de conformidade técnica e recomendações obrigatórias, a serem adotadas por cada cliente para reforço mútuo da segurança.
29. A CMSW está em tratativas futuras com o BACEN para evoluir o modelo de governança?
Sim. Está em curso um diálogo maduro e técnico com o DEINF e outras áreas do Banco Central, visando não apenas solucionar o episódio atual, mas contribuir para o aperfeiçoamento da governança do ecossistema de pagamento.
30.Por que as taxas de devolução das transações fraudulentas foram superiores à média de mercado?
A CMSW, ao identificar rapidamente os indícios de fraude, automatizou a emissão das requisições de devolução por meio do Mecanismo Especial de Devolução (MED), conforme previsto no regulamento do Pix. Esse processo automatizado permitiu que as solicitações fossem feitas de forma tempestiva, dentro do prazo regulatório, e com a documentação correta, resultando em uma taxa de sucesso nas devoluções significativamente superior à média de mercado.
|
