Dados da C&M são vazados após ataque ao sistema do Pix

O grupo cibercriminoso Dragonforce divulgou, nesta sexta-feira, dia 28 de dezembro, um conjunto de 392 GB de dados atribuídos à C&M Software, empresa responsável por soluções tecnológicas relacionadas ao Pix. O material foi publicado na Dark Web após o fim do prazo de seis dias imposto pelos hackers, marcando mais um capítulo do que é considerado o maior ataque cibernético já sofrido pelo sistema financeiro no Brasil.

A empresa havia confirmado anteriormente que os arquivos estão relacionados ao incidente registrado em junho. Na ocasião, criminosos compraram credenciais de acesso por meio de um funcionário terceirizado, o que permitiu a invasão aos sistemas internos da empresa. A partir disso, houve o desvio coordenado de valores que pode ultrapassar R$ 1 bilhão, sendo que uma parte significativa já recuperada ou bloqueada pela Polícia Federal.

Conteúdo do vazamento

Segundo análise preliminar, o material divulgado inclui documentos internos como apresentações, planilhas, modelos de relatórios, atas de reuniões e até configurações de VPN, supostamente vinculadas à C&M Software. Embora não seja possível atestar a autenticidade de todo o conteúdo publicado, especialistas identificaram indícios que reforçam a possibilidade de que os arquivos sejam legítimos.

O acervo, disponibilizado na camada criminosa da Deep Web, é apresentado de forma organizada, com um navegador interno que permite consultar facilmente os 392 GB de dados antes do download. Especialistas alertam que a principal ameaça é a acessibilidade dessas informações, que agora podem ser utilizadas por criminosos para aprimorar golpes, campanhas de phishing e até ações de espionagem corporativa.

Posicionamento da C&M Software

A empresa afirma que não houve novos acessos indevidos e que o material divulgado corresponde apenas ao ataque ocorrido no meio do ano. Em nota oficial, declarou:

“Nas últimas horas circularam publicações sugerindo a existência de um novo vazamento envolvendo a CMSW. Após análise interna e revisão dos logs de segurança, confirmamos que não há qualquer evidência de novo acesso indevido aos nossos ambientes.

O material mencionado nessas postagens corresponde a arquivos que concluímos estarem relacionados ao incidente de 30 de junho, antes das correções profundas, da implementação das novas resoluções do Banco Central do Brasil e dos reforços de segurança realizados nas semanas seguintes.

Nosso ambiente permanece íntegro, monitorado e operando normalmente. Seguimos em total transparência com clientes, reguladores e parceiros, mantendo os mesmos padrões de segurança, disponibilidade e governança que norteiam nossas operações.”

Risco ao titular ainda é incerto

Ainda não há avaliação conclusiva sobre possíveis impactos diretos ao usuário comum. Contudo, especialistas recomendam que todos reforcem práticas básicas de segurança digital, como:

1. utilização de senhas fortes e exclusivas com autenticação em dois fatores;
2. alteração periódica das senhas;
3. atualização regular de dispositivos e aplicativos;
4. cautela com links recebidos por e-mail, WhatsApp ou redes sociais;
5. evitar redes Wi-Fi públicas ou utilizar VPN confiável;
6. manter backups atualizados para proteção contra ransomware.

LGPD e a fragilidade exposta

O caso reacende a discussão sobre a necessidade de adequação à Lei Geral de Proteção de Dados – LGPD, tanto por empresas quanto por órgãos públicas. A legislação exige medidas técnicas e administrativas para proteger dados pessoais, algo que, segundo especialistas, teria reduzido o impacto do ataque.

A ausência de treinamento , que é o primeiro passo do processo de adequação à LGPD, abriu caminho para o comprometimento das credenciais utilizadas na invasão. Um treinamento efetivo poderia ter evitado o incidente.

Profissionais da área contábil também têm papel relevante: cabe ao Contador alertar seus clientes sobre os riscos da falta de conformidade com a LGPD e reforçar a importância de práticas que assegurem governança e segurança de dados pessoais.