Ataque cibernético desvia R$ 26 milhões de clientes de fintech via Pix

A fintech FictorPay foi vítima de um ataque cibernético no último domingo (19) que resultou no desvio de R$ 26 milhões das contas de seus clientes. A ação criminosa explorou uma vulnerabilidade em uma empresa terceirizada,

Segundo informações apuradas pelo Estadão Conteúdo, o ataque ocorreu devido a um vazamento de credenciais da Dilleta Solutions, uma empresa de software que presta serviços para a FictorPay. A Dilleta confirmou a invasão em seus sistemas e afirmou que está colaborando com as investigações policiais. Fontes do mercado indicam que o prejuízo total, incluindo outros parceiros da Dilleta, pode chegar a R$ 40 milhões.

Como o desvio aconteceu?

A FictorPay e sua provedora de infraestrutura bancária (Bank as a Service), a Celcoin, afirmam que seus sistemas não foram diretamente invadidos. A fraude ocorreu quando os criminosos, de posse das credenciais vazadas da Dilleta, conseguiram autorizar múltiplas transações via Pix em volumes muito acima do normal.

Foi a Celcoin, alertada pelo próprio Banco Central (BC), quem detectou a movimentação atípica e comunicou a FictorPay.

Alerta sobre limites do Pix

O incidente expôs uma brecha nos limites de segurança do Pix. Em setembro, o BC havia estabelecido um limite de R$ 15 mil para transações Pix de instituições não autorizadas ou que usam Prestadores de Serviços de Tecnologia (PSTIs).

No entanto, a FictorPay opera via “Pix Indireto” através da Celcoin, que é uma instituição autorizada e participante direta do Pix, não estando sujeita a esse limite de R$ 15 mil. Isso permitiu que os criminosos realizassem as transferências de alto valor.

Segundo fontes do Estadão Conteúdo, o Banco Central, que já estudava a imposição de limites maiores a todas as instituições, agora trata o assunto com caráter de urgência após o ataque do fim de semana.

(Com informações do Estadão Conteúdo).

Saiba como assistir aos Videocasts do JC

Source link