O ataque cibernético BaaS Brasil à C&M Software em 1º de julho de 2025 expôs fragilidades no modelo de Banking-as-a-Service (BaaS) no Brasil. Empresas de cibersegurança alertam que o incidente revelou vulnerabilidades na conexão entre fintechs e bancos ao Sistema de Pagamentos Brasileiro (SPB). A recorrência de tais ataques é possível caso as falhas não sejam corrigidas.
As vulnerabilidades incluem a concentração de risco, onde diversas fintechs dependem de poucos provedores para acessar o SPB, criando gargalos de segurança. Outra falha é o sistema de monitoramento reativo, que dispara alertas somente após a conversão do dinheiro em criptomoedas.
Um relatório da Asper Cibersegurança destaca que a resposta coordenada entre o Banco Central, Polícia Federal, instituições afetadas e exchanges de criptomoedas conteve um impacto sistêmico. No entanto, o relatório adverte que a próxima tentativa pode ser ainda mais destrutiva se as mesmas vulnerabilidades persistirem.
A Axur, plataforma gaúcha de cibersegurança, enfatiza a importância da colaboração entre instituições, reguladores e forças de investigação. A empresa aponta que a tentativa de converter rapidamente os valores para criptoativos, via Pix, exchanges e mesas OTC, demonstra a necessidade de monitoramento robusto desses vetores de lavagem.
A C&M Software atua como elo entre fintechs e o SPB, facilitando integrações com o Banco Central. Esse papel central a transformou em um ponto único de falha, explorado por criminosos. A BMP, cliente da C&M, confirmou ter sido afetada, com acesso dos criminosos à sua conta reserva no BC. O ataque atingiu outras cinco instituições financeiras, incluindo Bradesco e Credsystem.
A Asper relata que os hackers buscaram nos servidores os keystores (.pfx / .jks), arquivos de segurança criptografados que armazenam certificados de autenticação. Esses arquivos estavam acessíveis sem a proteção de um HSM (Módulo de Segurança de Hardware), permitindo a extração das chaves privadas. Com os certificados, os criminosos acessaram as contas reserva das instituições conectadas, desviando dinheiro e convertendo-o em criptoativos via Pix.
O ataque de 1º de julho revelou a falta de monitoramento de movimentações de valores exorbitantes no SPB, sem verificação humana. Uma transação estimada em R$ 1 bilhão gerou alerta somente após chegar a uma exchange de criptomoedas. Plataformas de criptoativos como a SmartPay detectaram volumes atípicos de Pix ligados à compra de USDT e BTC, elevando filtros de validação e bloqueando somas relevantes, que foram devolvidas às instituições lesadas.
A necessidade de fortalecer a segurança no modelo BaaS Brasil se tornou evidente. A colaboração entre setores público e privado, juntamente com o uso de tecnologias de monitoramento avançadas, são cruciais para evitar futuros ataques e proteger o sistema financeiro.
Via Startups.com.br
