Quase 50 milhões de chaves Pix já vazaram até hoje
No maior caso desse tipo desde 2021, nesta semana, cerca de 47 milhões de chaves de 11 milhões de brasileiros foram expostas por acessos indevidos ao Sisbajud, do CNJ. Desde o lançamento, em novembro de 2020, já vazaram mais de 48 milhões de chaves Pix de diferentes instituições em mais de 20 incidentes, de acordo com o Banco Central (BC). O mais recente, comunicado na noite de quarta-feira (23/7), envolveu 46,9 milhões de chaves de aproximadamente 11 milhões de pessoas, o maior vazamento até hoje. O caso é fruto de acesso indevido ao Sisbajud, do Conselho Nacional de Justiça (CNJ). No total, o sistema de pagamentos instantâneo brasileiro contabiliza mais de 858 milhões de chaves cadastradas, de acordo com o BC. Proporcionalmente, então, os mais de 48 milhões de chaves vazadas até hoje representam 5,6% do total. O vazamento de chaves Pix divulgado ontem foi o terceiro caso do tipo em 2025. No ano passado, foram 12 incidentes de segurança desse gênero, número recorde, envolvendo diferentes perfis de instituições – grandes bancos, fintechs e cooperativas. A lista completa dos casos está no site do BC. Vazamento no CNJ De acordo com o CNJ, houve acessos indevidos ao Sisbajud, sistema de busca de ativos financeiros operado pela instituição pública, devido à “captura criminosa de credenciais de usuários”. O CNJ informou que o incidente ocorreu entre os 20/7 e 21/7, , comprometendo dados cadastrais de aproximadamente 11 milhões de brasileiros. Segundo o BC e o CNJ, não houve exposição de dados sensíveis, como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. “Os dados acessados foram exclusivamente as seguintes informações cadastrais: nome da pessoa, chave Pix, nome do banco, número da agência e número da conta”, disse o CNJ, em nota. O sistema já voltou à plena operação e as medidas de contenção foram adotadas, afirmou a instituição pública. Na nota, o CNJ disse, ainda, que reforçou os protocolos de segurança, assim como notificou a Polícia Federal (PF) e a Autoridade Nacional de Proteção de Dados (ANPD), como exige a lei. Já o BC informou que foram adotadas as “ações necessárias para a apuração detalhada do caso”. Contexto O aumento dos incidentes com chaves Pix acompanha o crescimento e consolidação do sistema, hoje o meio de pagamento mais usado no País, mas também o avanço dos crimes financeiros. Não dá para ignorar que, no final de junho, houve a revelação do maior ataque hacker ao sistema financeiro brasileiro. Nos últimos anos, como resposta a essa escalada de fraudes e golpes financeiros, o BC vem subindo a “régua” para as instituições autorizadas, principalmente aquelas que integram o Pix. Desde 1/7 também está valendo uma regra publicada em 2025 de março pelo BC que obriga as instituições participantes do arranjo a garantirem que os nomes das pessoas e empresas vinculadas às chaves Pix batem com aqueles que estão nas bases de CPF e CNPJ da Receita Federal. Fonte: Finsiders Brasil
Homem usa dados falsos para sacar FGTS de vítima no Paraná e desencadeia operação da PF
Primeiro suspeito foi identificado em Maringá. Operação desta terça (15) teve cumprimento de mandados nos estados de Goiás e São Paulo. Nesta terça-feira (15), a Polícia Federal (PF) deflagrou uma operação que apura fraude em saque-aniversário do Fundo de Garantia do Tempo de Serviço (FGTS). Uma prisão em flagrante realizada em 2023 em Maringá, no norte do Paraná, motivou a investigação. Segundo a PF, este homem foi encontrado no momento em que ele tentava sacar o FGTS de uma vítima. Para isso, ele estava usando documentos falsos. Foi descoberto, então, que existe um esquema criminoso “sofisticado”, de acordo com a nota divulgada pela PF. Ele inicia com invasões de hackers em contas para identificação dos dados dos trabalhadores. Em seguida, em posse dessas informações, era habilitado o saque-aniversário por meio do aplicativo. Para conseguir retirar o dinheiro, os suspeitos iam presencialmente até agências bancárias usando documentos falsificados. Na fase desta terça-feira, a PF cumpriu sete mandados de busca e apreensão e ordens de sequestro de bens e valores em Goiás (GO) e Americana (SP). Os investigados poderão responder pelos crimes de organização criminosa, estelionato e lavagem de dinheiro. A investigação continua com a análise do material apreendido. O g1 fez contato com a Caixa Econômica – que prestou apoio nas apurações da PF – sobre o caso. Até a publicação desta reportagem, não houve retorno. Fonte: G1
Ataque hacker e criptomoedas: por que boa parte do dinheiro levado no “roubo do século” pode ter se perdido para sempre
Especialistas consultados pelo Seu Dinheiro alertam: há uma boa chance de que a maior parte do dinheiro roubado nunca mais seja recuperada — e tudo por causa do lado obscuro dos ativos digitais O noticiário brasileiro desta semana virou um prato cheio para os aficionados por casos criminais. Em um roubo que entrou para a história, hackers acessaram o sistema de uma prestadora de serviços do sistema financeiro, rasparam em torno de R$ 1 bilhão de diversas contas, segundo estimativas, e fugiram diretamente para as sombras das criptomoedas. Um combo perfeito para uma história policial de prestígio. Apesar de gerar um interesse voraz para quem lê sobre o tema, a comoção do “roubo do século” é outra para as empresas atacadas, que tiveram prejuízos significativos com o assalto. A C&M Software, empresa situada no epicentro da ação criminosa, diz que “não confirma valores, pois não é agente financeiro nem parte na titularidade dos recursos”. Com isso, o verdadeiro tamanho do rombo causado pelo ataque hacker ainda permanece um mistério. Entretanto, especialistas alertam: há uma boa probabilidade de que a maior parte desse dinheiro nunca mais seja recuperada — e tudo por causa do lado obscuro dos ativos digitais, que emergem como um refúgio para os criminosos esconderem os rastros de seus roubos. Ataque hacker: onde foi parar o dinheiro? Parte do dinheiro roubado pelos hackers foi recuperada, incluindo cerca de R$ 180 milhões da BMP. Essa recuperação ocorreu por meio do MED (Mecanismo Especial de Devolução), um protocolo previsto pelo Banco Central no Pix para devolução de valores em casos de fraude. Outra ferramenta também auxiliou na recuperação enquanto as operações de Pix dos clientes da C&M estavam desligadas temporariamente: o Sistema de Transferência de Reservas (STR) interbancário do Banco Central, utilizado para a realização de transferência de fundos entre instituições financeiras. Além disso, uma conta com R$ 270 milhões, usada para receber o dinheiro desviado, já foi bloqueada pelas autoridades locais. Mas a leitura inicial de especialistas consultados pelo Seu Dinheiro indica que apenas as cifras que permaneceram nas contas financeiras dos criminosos puderam ser devolvidas. Isso porque, até cair nas contas, o dinheiro estava sendo rastreado. Mas, como os fraudadores também tinham conhecimento sobre o mecanismo de devolução do Pix, eles tiram o dinheiro das contas muito rapidamente — e logo converteram boa parte do montante em criptomoedas. Um levantamento obtido pelo Crypto Times mostra um aumento desproporcional no volume negociado em corretoras de criptomoedas (exchanges) no dia do ataque hacker, em plataformas como a Binance, Bity, Bitso, Mercado Bitcoin (MB) e Foxbit. O maior aumento no volume negociado ocorreu na Binance, que saltou mais de R$ 430 milhões. Em um único dia, o volume negociado na corretora foi três vezes maior do que a média mensal. Em alguns casos, houve um aumento de mais de 700% em volume negociado em apenas um dia. Dinheiro roubado no assalto virou criptomoeda. E agora? Até a última quinta-feira (3), a Polícia Civil estava totalmente concentrada em identificar e prender o suspeito insider na C&M, que ajudou os hackers a acessarem os sistemas. Foi só a partir da sexta-feira que os esforços mudaram para construção de uma força-tarefa para congelamento e rastreio dos ativos suspeitos. Na leitura de Marcos Zanini, especialista em cibersegurança e CEO da Dinamo Networks, porém, o dinheiro roubado que foi transformado em criptomoeda pode ter se perdido para sempre. Isso porque as transações com criptomoedas possuem chaves de acesso únicas. No entanto, elas não permitem acesso aos dados de quem detém a carteira (wallet). Ou seja, ainda que seja possível rastrear que o dinheiro roubado foi convertido na criptomoeda A, B ou C e alocado em uma determinada wallet, não é possível recuperar este montante, uma vez que as redes cripto não possuem um dono ou controlador. “Como a chave não é nominal, você perde totalmente a rastreabilidade. Por isso, dificilmente o que virou cripto vai voltar. Depois que virou criptomoeda, eu acredito que não recupera mais esse dinheiro roubado”, afirmou Zanini. “Essa é coisa linda e, ao mesmo tempo, horrível, das criptomoedas. Vamos supor que você tenha medo de o governo confiscar seu dinheiro, a criptomoeda é uma coisa que salva, porque ninguém, nem mesmo o governo, tem autonomia de sacar. Mas é a mesma coisa quando o fraudador faz isso: ninguém tem a condição de pegar o dinheiro dele”, acrescentou. Na mesma linha, Valter Rebelo, analista da Empiricus Research, afirma que, uma vez que os hackers distribuíram esses R$ 1 bilhão entre bitcoin e USDT, “não tem o que fazer”. “Porque o criminoso nem precisa transferir o dinheiro para eventualmente se liquidar dele e lavar esse dinheiro. O mercado sabe onde estão esses bitcoins, mas não há como recuperar. A blockchain opera como se fosse uma rede de caixas de correio, só que os detentores possuem as próprias chaves”, disse Rebelo. Ataque hacker e dinheiro em criptomoedas: a responsabilidade fica com as exchanges de criptomoedas? Se o dinheiro roubado caiu em uma corretora (exchange) de criptomoedas, essa exchange não estaria responsável por bloquear transações ilícitas? Em teoria, sim. Porém, como o Banco Central não tem autoridade para regular corretoras que não sejam sediadas no Brasil, acaba em um limbo regulatório, segundo o CEO da Dinamo. Vale destacar que, há algumas semanas, a Quarta Turma do Superior Tribunal de Justiça (STJ) decidiu que plataformas que realizam transações com criptomoedas têm responsabilidade e podem ser obrigadas a reparar danos causados por fraudes em operações protegidas por senha e autenticação de dois fatores. No entendimento do STJ, nem mesmo ataques de hackers tirariam a responsabilidade das plataformas, a menos que fosse, de fato, comprovada a culpa exclusiva do cliente ou de terceiros. Porém, ainda não se sabe como isso será aplicado na prática. “Se isso tivesse acontecido em uma rede permissionada, como o Drex, seria 100% reversível, porque todas as operações dentro de uma blockchain permissionada estão sob o controle do Banco Central. Se esse dinheiro tivesse sido pulverizado em 10 mil contas, daria para rastrear exatamente para quais contas entrou. Quando você vai com uma blockchain pública, como são as criptomoedas, elas não tem alguém dono, então não há rastreabilidade”, afirmou Zanini. Uma carteira de autocustódia, Truther, elevou os
R$ 1 bilhão: Esse foi o maior roubo da história do PIX
Um ataque hacker sem precedentes à empresa C&M Software já está sendo chamado por especialistas de bastidores de “roubo do século”. A ofensiva cibernética atingiu diretamente a infraestrutura que conecta bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB) e ao ambiente de liquidação do Pix, com estimativas que apontam para o desvio de até R$ 1 bilhão. Fundada em 1992, a C&M Software é uma provedora de serviços de mensageria financeira que permite que instituições sem conexão direta com o Banco Central consigam realizar operações no SPB, incluindo transações via Pix. Essa posição estratégica a tornou um alvo vulnerável, mas altamente lucrativo. Segundo relatos confirmados por autoridades e pela própria empresa, hackers invadiram os sistemas da C&M na segunda-feira (1º) e utilizaram credenciais de clientes para realizar transferências fraudulentas. Os alvos foram contas reservas de ao menos seis instituições financeiras junto ao Banco Central. Como o golpe funcionou A falha explorada permitiu que os criminosos acessassem essas contas e movimentassem centenas de milhões de reais por meio de transferências em cadeia pelo Pix. Estima-se que só no primeiro dia do ataque, cerca de R$ 400 milhões tenham sido desviados. Embora parte do dinheiro tenha sido recuperado graças ao Mecanismo Especial de Devolução (MED) do Pix, especialistas criticam a ausência de limites automáticos de volume de transações no sistema operado diretamente pelo Banco Central — ao contrário do que é exigido dos bancos privados. “Como é possível movimentar tamanha quantia sem que o sistema detecte irregularidades?”, questionou uma fonte do setor financeiro. Reação das instituições O Banco Central confirmou que a C&M Software foi vítima de um ataque e ordenou o bloqueio imediato do acesso da empresa à sua infraestrutura. As instituições afetadas, como o Banco BMP e o Banco Paulista, informaram que nenhum cliente final teve recursos comprometidos e que o problema se concentrou nas contas operacionais junto ao BC. O Banco BMP, por exemplo, declarou que possui colaterais suficientes para absorver as perdas, e que sua operação segue sem impactos comerciais. O Banco Paulista também ressaltou que não houve transações indevidas ou vazamento de dados. A Polícia Federal deve se juntar às investigações nos próximos dias, ao lado do Banco Central e da Polícia Civil de São Paulo. A C&M afirmou que está cooperando com as autoridades, mas se absteve de dar detalhes por conta do sigilo legal. Em nota, a empresa declarou que seus sistemas críticos permanecem intactos e que todos os protocolos de segurança foram ativados após a detecção do ataque. Fonte: Diário do Comércio