Ataque hacker ao Pix: análise completa e lições de segurança
Hackers desviam R$ 800 mi via C&M Software, provedor do Pix. Saiba como o golpe ocorreu, impactos e boas práticas para proteger sua empresa.
O maior ataque hacker ao Pix: entenda como R$ 800 milhões foram desviados e o que sua empresa deve fazer agora
Tempo de leitura: 11 min ;Atualizado em: 03 jul 2025
Na madrugada de 25 para 26 de junho, um grupo de hackers invadiu a C&M Software, empresa de infraestrutura que conecta bancos e fintechs ao Sistema de Pagamentos Instantâneos (Pix) e ao Sistema de Pagamentos Brasileiro (SPB). Usando as credenciais da companhia, os criminosos acessaram contas reservas de pelo menos seis instituições financeiras e desviaram mais de R$ 800 milhões em minutos – possivelmente ultrapassando R$ 1 bilhão à medida que novas perdas são contabilizadas :contentReference[oaicite:0]{index=0}.
O Banco Central, a Polícia Federal e a Polícia Civil de São Paulo abriram inquérito. Embora não haja evidências de exposição de dados de usuários finais, o episódio já é considerado o maior cibercrime financeiro da história do país :contentReference[oaicite:1]{index=1}.
Fundada em 1991, a C&M fornece gateways que fazem a ponte entre sistemas internos de bancos e o núcleo do BC. Na prática, ela é o “fio” que leva ordens de crédito e débito para o Pix, TED, DOC e boletos. Se o fio é comprometido, o invasor ganha um atalho para autorizar transações em nome das instituições clientes.
Pela regulamentação, cada banco é responsável pela segurança, inclusive quando terceiriza. O episódio reacende o debate sobre risco de concentração: um único provedor virou ponto de falha para múltiplas instituições.
*Confirmaremos o vetor definitivo após laudo forense do BC e PF.
• Prejuízo estimado: R$ 800 mi a R$ 1 bi (em liquidação). A premissa de “rede confiável” morreu. Cada requisição deve ser autenticada, criptografada e monitorada.
Bancos e grandes corporates precisam auditar provedores críticos, exigir pen tests semestrais e relatórios SOC 2/ISO 27001.
Certificados de assinatura devem ficar em HSM isolado com MPC: chave nunca existe completa em um único lugar.
SIEM com regras de comportamento anômalo (ex.: transferência fora de horário, valor acima do percentil) poderiam ter estancado fraudes em minutos, não horas.
O megavazamento financeiro via C&M Software não é uma falha do Pix em si, mas um alerta contundente sobre a cadeia de confiança digital. Em tempos de juros altos e margens comprimidas, perder milhões por falha de segurança pode ser fatal. Instituições e empresas que investirem agora em zero trust, segmentação de chaves e monitoramento em tempo real sairão na frente – não apenas no quesito segurança, mas em credibilidade perante clientes e reguladores.
1. O que aconteceu?
2. Linha do tempo do ataque
Data
Evento
25/06 · 22h
Invasão à rede da C&M; instalação de malware para captura de chaves de assinatura.
26/06 · 0–2h
Geração de ordens de débito nas contas reservas de 6 bancos; recursos migrados para contas laranjas.
26/06 · 5h
Instituições detectam movimentação atípica; alertam Banco Central.
26/06 · 9h
BC suspende conectividade da C&M Software ao SPI (infraestrutura do Pix).
26/06 · 18h
Empresa publica nota reconhecendo “incidente de segurança” e cooperação com autoridades.
3. Quem é a C&M Software e por que ela é crítica?
4. Possíveis vetores de ataque (hipóteses em investigação)
5. Impacto financeiro e reputacional
• Seis instituições afetadas – duas identificadas até agora: BMP Bank e Credsystem.
• Custos adicionais: multas regulamentares, indenização a clientes, custos de forensics e reforço de segurança.
• Reputação: questionamentos sobre a resiliência do Pix, embora o núcleo do BC não tenha sido violado.
6. Lições de cibersegurança para instituições e empresas
6.1 Zero Trust não é opcional
6.2 Gestão de terceiros
6.3 Segmentação de chaves
6.4 Deteção em tempo real
7. Recomendações práticas da GX Capital
8. Perguntas frequentes
9. Conclusão
Qual é a Sua Reação?
Like
0
Não Curtir
0
Love
0
Engraçado
0
Irritado
0
Triste
0
Uau
0
