×

O maior hack que o Brasil já viu

O maior hack que o Brasil já viu
Uncategorized

O maior hack que o Brasil já viu

O maior hack que o Brasil já viu

Na madrugada de 1º de julho de 2025, o sistema financeiro brasílico acordou com um rombo bilionário. Um tanto uma vez que R$ 1 bilhão evaporou em poucos minutos das contas de suplente de seis instituições financeiras. Só do banco BMP foram drenados R$ 541 milhões. Inicialmente atribuído a falhas técnicas, o caso teve um desfecho dissemelhante: não houve invasão. O ataque foi facilitado por um agente interno, cooptado criminosamente, com chegada totalidade e indevido ao envolvente de produção.

A engenharia humana por trás do ataque

Apesar de diversas análises técnicas circularem, com foco em vulnerabilidades de software, a veras foi mais simples e mais grave: engenharia social. Segundo apuração da Polícia Federalista e reportagens confirmadas, um funcionário ligado ao envolvente da C&M Software vendeu seus acessos — credenciais que, combinadas com configurações permissivas (uma vez que IPs fixos e VPNs mal geridas), permitiram o chegada direto e autorizado ao envolvente de produção.

Com privilégios ampliados, o grupo criminoso acessou subdomínios mal protegidos, sem criptografia e sem MFA, e dali gerou ordens de transferências usando perfis com permissões para isso. Porquê o sistema da ponta final (cliente da C&M) não exigia validações adicionais uma vez que double check de saldo, as transações passaram direto.

A engrenagem sátira que falhou

A C&M era responsável por uma segmento vital, mas invisível, do sistema financeiro: ela encaminhava ordens de pagamento via SPB e Pix. Em vez de um ataque extrínseco, foi um uso indevido de permissões internas, combinado com práticas frágeis de segurança e exiguidade de controles mínimos o grande gerador do problema.

A instituição mais atingida foi o banco BMP. Outras cinco também foram afetadas. O somatório de perdas especula-se atualmente que esteja na lar de R$ 1 bilhão. Nenhum cliente geral foi impactado diretamente já que o evento afetou reservas bancárias mantidas no Banco Medial — e abalou a crédito no padrão terceirizado de infraestrutura sátira.

Uma curiosidade disso é que pelo hack ter sido sob as reservas dos bancos junto ao Banco Medial, um vista “lá lar de papel” aparece cá, já que o verba sumiu, mas nenhum cliente foi impactado. Porquê o Banco Medial vai mourejar com isso é a grande questão, já que essas reservas são a “garantia” que os bancos depositam lá para poder operar (fazer crédito etc). E se não estão mais lá, uma vez que esses bancos continuam a fazer as operações? Índices de Basileia, por exemplo devem ter sido imensamente impactados.

Quase 1% das reservas totais depositadas no Banco Medial foi drenado

Com base em dados de julho de 2025, as reservas bancárias no país somavam tapume de R$ 110  bilhões. O ataque drenou quase 0,9% desse totalidade. Esse rombo escancarou uma grande vulnerabilidade do sistema financeiro vernáculo — onde um único prestador de serviços tinha a permissão suficiente para, na surdina da noite, movimentar valores uma vez que esse.

A madrugada e o silêncio do sistema

O ataque ocorreu fora do horário mercantil. Ordens de valor atípico foram enviadas e processadas sem nenhuma trava ou validação humana. Alertas soaram, mas, aparentemente, algumas horas foram necessárias para que a resposta ocorresse. O processo operava sem verificação de origem, sem controle transacional e sem dupla autenticação. Um sistema que movimenta bilhões, funcionando no modo “crédito cega”. Dá para crer?

O herói improvável: Uma empresa Cripto

Enquanto o setor tradicional demorava a reagir, a cripto tomou a frente. A SmartPay, identificou rapidamente volumes atípicos de Pix para compra de USDT e BTC. Bloqueou, congelou, rastreou e devolveu. Agiu antes que o dano fosse maior. A resposta desembaraçado dela — habituada a operar em ambientes sem garantias institucionais — expôs ainda mais a complacência do sistema tradicional. Infelizmente, isso foi padrão nas empresas cripto. As cinco principais exchanges cripto do Brasil tiveram aumentos consideráveis de volume nesse dia e, pelo menos até o momento, não ouvi nenhum relato de que tenham bloqueado valores significativos.

BaaS: facilidade, mas com riscos

O padrão Banking-as-a-Service, que o Brasil utiliza, facilitou a ingressão de novas fintechs no mercado. Mas, ao concentrar a notícia com o Sistema de Pagamentos Brasílio (o SPB) em poucos provedores, criou pontos únicos de nequice. O caso C&M revelou o que acontece quando fornecedores mantem práticas subótimas de segurança, e quando seus clientes não exigem o contrário.

O caso lembra o hack recente da Bybit. Lá também houve uma nequice de terceiros. Mas os fundos foram desviados on-chain — visíveis, rastreáveis. Rapidamente, analistas independentes mapearam tudo, e a empresa teve uma gestão de crise que considero réplica. Já o SPB permanece uma caixa-preta. O mercado depende de rumores, vazamentos e silêncio institucional.

Gestão de crise: silêncio que assusta

Até agora, unicamente a C&M, BMA e Banco Paulista publicaram notas de que um pouco aconteceu, mas sem dados e números. O Banco Medial não divulgou dados ou medidas claras. O valor de R$ 1 bilhão continua sendo uma estimativa. Não se sabe exatamente quantos bancos foram atingidos, nem qual o impacto real. Será que o totalidade foi somente R$ 1 bilhão? Dois dias depois do ataque isso ainda não está esclarecido.

Além de ter desconectado a C&M no dia do hack, no dia 3 de julho, o Banco Medial suspendeu cautelarmente três participantes do Pix (Transfeera, Nuoro Pay e Soffy) por entender que precisam melhorar questões de segurança, e causou uma grande confusão entre empresas que utilizam fintrechs para pagamentos. Sei de uma pessoa que estava tendo que fazer mais de 300 PIX “na mão” na sua empresa por conta da suspensão dessas três empresas, só para dar um exemplo.

Voltando aos reguladores. Nenhuma explicação técnica foi divulgada. Enquanto isso, analistas seguem tentando entender o caso a partir de logs fragmentados e relatos de bastidor. Sim, a polícia já prendeu um suspeito que confessou ter oferecido chegada e provido chaves (senhas). Mas e o processo? Porquê e por que esse programador tinha tanto chegada?

A diferença com o mundo cripto é clara. Lá, a transparência é padrão. Cá, ela parece opcional.

O Banco Medial isolou a C&M temporariamente, suspendeu alguns outros provedores e iniciou investigações. Mas o problema é maior: o sistema permitiu chegada totalidade a ambientes produtivos via credenciais; ignorou boas práticas de Rede do Sistema Financeiro Pátrio; aceitou a presença de usuários do fornecedor com privilégios ampliados; e deixou brechas uma vez que payloads abertos, exiguidade de Autenticação Multifator, e validações de saldo inexistentes. Isso tudo sem racontar que qualquer sistema de perceptibilidade sintético, até os mais “burrinhos” teriam oferecido alertas de movimentações fora do padrão maquinalmente. Sem racontar que em um fluxo muito implementado, isso deveria requerer escalonamento de autorizações devido aos volumes serem expressivos para os horários.

Se o ataque foi verosímil sem qualquer invasão técnica — unicamente com uso de permissões concedidas — a fragilidade está no padrão de crédito. E quem opera sistemas com esse nível de exposição precisa revisar tudo: de arquitetura técnica à gestão de acessos, da governança dos prestadores à validação operacional.

Cripto, por viver no caos, tem aprendido a não incumbir em ninguém. Verifica tudo. Audita tudo. E copia grande segmento dos seus processos dos “infalíveis” processos que o sistema financeiro tradicional criou ao longo das últimas décadas. Será que já está na hora do sistema financeiro tradicional encetar a plagiar os processos de cripto?

No término, o que parecia inicialmente um ataque técnico muito sofisticado, revelou-se uma combinação de imprevidência, concentração de poder e engenharia social. Se isso foi suficiente para tirar quase 1% das reservas bancárias do país, a questão já não é se vai sobrevir de novo. É onde e quando.

Nesse cenário, ainda muito que os grandes bancos acabam internalizando essas áreas mais críticas e não dependendo de terceiros. Isso ajuda, e muito, a termos um sistema menos suscetível a um risco sistêmico devido a ocorridos uma vez que esse.

Que esse incidente sirva de aprendizagem concreto para aumentar a robustez do sistema. Governança, processos, segurança cibernética e auditoria não podem ser lembrados unicamente nos momentos de crise. Precisam ser estruturais, permanentes e prioridade de quem opera infraestrutura sátira.

Nota do responsável: Item escrito em 4 de julho de 2025, às 20h, com base nas informações disponíveis até logo

Utilizado nessa estudo:

•Suspeito recebeu R$ 15 milénio para facilitar golpe com Pix, diz procurador

•Boletim de segurança Asper

•BC suspende instituições acusadas de receber recursos de ataque hacker | Serviços Financeiros | Valor Investe

•EXCLUSIVO: Hackers levam mais de R$ 1 bilhão de ‘banking as a service’ – Brazil Journal

•Veja o que se sabe sobre o ataque hacker que desviou quase R$ 1 bilhão – Estadão

•Maior Ataque Hacker ao SPB: Roubados >R$ 1 Bi via C&M Software

•Ataque hacker ao sistema financeiro: BMP perdeu, sozinha, R$ 541 milhões; outras instituições também foram afetadas | Economia | G1

Gustavo Cunha é fundador da Fintrender.com

Para prometer sua Pinga Exclusiva FinTrender — totalmente gratuita uma vez que cortesia pela leitura desta poste — acesse o site Gotas.social e utilize o código HACKBCBVI no resgate. O número de gotas é restringido

thumbnail-imagemcolunistagustavocunha O maior hack que o Brasil já viu
Gustavo Cunha — Foto: Valor Investe

source

Related Posts

Publicar comentário

You May Have Missed

© 2025 Total Invest. Todos os direitos reservados. | Powered By SpiceThemes