Dois meses após uma invasão aos sistemas da C&M ser a porta de entrada para aquele que já é considerado o maior ataque hacker do Brasil – com desvios de mais de R$ 1 bilhão -, um novo incidente está movimentando os bastidores do sistema financeiro do País.
Conforme apurou o NeoFeed, na tarde da sexta-feira, 29 de agosto, criminosos invadiram os sistemas da Sinqia, companhia que fornece sistemas de core bancário para instituições financeiras, e fizeram diversas transferências via Pix para contas de “laranjas”.
Como a movimentação é recente, ainda são poucas as informações das extensões do ataque. Até o momento, porém, já foram identificados desvios de contas do HSBC, que já somam aproximadamente R$ 400 milhões.
Em comunicado (leia a íntegra no fim da reportagem) enviado ao NeoFeed, a Sinqia confirmou que, no dia 29 de agosto, detectou uma atividade suspeita no ambiente Pix e ressaltou que sua equipe “agiu rapidamente”, ao iniciar uma investigação para determinar a causa do incidente.
“Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras”, afirmou a empresa, na nota.
O modus operandi do ataque, ao que tudo indica, é bem similar ao do caso da C&M. E se vale de uma técnica conhecida em cibersegurança como “ataque a cadeia de suprimentos”. Ou seja, os hackers não visam diretamente um único banco, mas sim, um provedor que dê acesso a diversas instituições financeiras.
Na prática, essa modalidade é mais efetiva, dado que os investimentos em sistemas e controles de segurança das grandes instituições são mais robustos que os recursos aplicados por boa parte dos provedores dessa cadeia. Ao mesmo tempo, essa técnica é mais lucrativa para os cibercriminosos.
Ao NeoFeed, uma fonte que está acompanhando os desdobramentos do caso diz que incidente envolvendo a Sinqia tem o potencial de trazer um impacto ainda maior do que o ataque à C&M. E isso não se resume ao fato dos valores envolvidos já na largada, em apenas uma instituição.
“Ainda é muito cedo para dizer e ninguém tem ainda muita informação, pois é muito recente”, afirma. “Estão todos bem perdidos e o ataque ainda não foi estancado. Ao contrário, está totalmente aberto e, muito provavelmente, vão aparecer casos envolvendo outras instituições.”
Ele ressalta que esse potencial também pode ser maior pelo fato de a Sinqia ser um banking as a service mais robusto, com um portfólio de sistemas financeiros core. Ao contrário da C&M, que tem ferramentais mais pontuais nesse segmento – como serviços de mensageria com o Banco Central.
“Se você compromete o ambiente da Sinqia, acaba tendo muito mais acesso e possibilidade de fazer mais estragos”, afirma. “Em contrapartida, a Sinqia tem um nível de maturidade em cibersegurança um pouco maior que a C&M. Então, ainda não é possível prever. Mas meu feeling diz que pode ser maior.”
Fundada em 1996, ainda como Senior Solution, a Sinqia – nome adotado a partir de 2018 – abriu capital na B3 em 2013, quando levantou R$ 57,4 milhões, sendo R$ 39,6 milhões na oferta primária. E, a partir do IPO, abriu os cofres e fez uma série de aquisições.
Em 2023, no entanto, a empresa foi comprada pela porto-riquenha Evertec, em uma transação de R$ 2,5 bilhões. Com o acordo, a companhia deixou de ter suas ações negociadas na B3. Já a Evertec tem capital aberto na Bolsa de Nova York e está avaliada em US$ 2,28 bilhões.
Após a publicação da reportagem, a Sinqia entrou em contato com o NeoFeed e encaminhou o esclarecimento abaixo. O texto foi atualizado às 12h15:
No dia 29 de agosto, a Sinqia detectou atividade suspeita no ambiente Pix. Nossa equipe agiu rapidamente e iniciou uma investigação para determinar a causa do incidente. Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras.
Neste momento, verificamos que o incidente se limita apenas ao ambiente Pix. Não há evidências de atividade suspeita em nenhum outro sistema da Sinqia além do Pix e esse problema afeta apenas a Sinqia no Brasil. Além disso, neste momento, não temos indicação de que quaisquer dados pessoais tenham sido comprometidos.
Enquanto nossa investigação ainda está em andamento, colocamos em prática um plano detalhado para alcançar uma restauração completa. Primeiro, isolamos o ambiente Pix de todos os outros sistemas da Sinqia e o desconectamos proativamente do Banco Central, enquanto conduzimos nossa análise.
Em segundo lugar, por precaução, estamos trabalhando ativamente para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. Também estamos trabalhando com especialistas externos adicionais para nos ajudar a acelerar esse processo e complementar os recursos de nossa própria equipe. Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente online.
Assim que tivermos uma previsão clara sobre quando o novo sistema estará online, forneceremos mais atualizações aos nossos clientes. A segurança das transações realizadas em nossos sistemas é nossa primeira prioridade.
Agradecemos o apoio de nossos clientes e pedimos desculpas pelo inconveniente. Estamos tratando essa situação com a maior seriedade e continuamos comprometidos com a transparência e em manter nossas partes interessadas informadas à medida que novas informações se tornem disponíveis.
Às 19h, depois da reportagem publicada, o HSBC enviou o posicionamento abaixo ao NeoFeed
Na última sexta-feira, 29 de agosto, o HSBC identificou transações financeiras via PIX em uma conta de um provedor do banco. Nenhuma conta dos clientes ou fundos foram impactados pela operação por elas terem ocorrido exclusivamente no sistema desse provedor. O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações.
