O ataque ocorreu devido a um vazamento de credenciais da Dilleta Solutions, uma empresa de software que presta serviços para a FictorPay
Clique aqui e escute a matéria
A fintech FictorPay foi vítima de um ataque cibernético no último domingo (19) que resultou no desvio de R$ 26 milhões das contas de seus clientes. A ação criminosa explorou uma vulnerabilidade em uma empresa terceirizada,
Segundo informações apuradas pelo Estadão Conteúdo, o ataque ocorreu devido a um vazamento de credenciais da Dilleta Solutions, uma empresa de software que presta serviços para a FictorPay. A Dilleta confirmou a invasão em seus sistemas e afirmou que está colaborando com as investigações policiais. Fontes do mercado indicam que o prejuízo total, incluindo outros parceiros da Dilleta, pode chegar a R$ 40 milhões.
Como o desvio aconteceu?
A FictorPay e sua provedora de infraestrutura bancária (Bank as a Service), a Celcoin, afirmam que seus sistemas não foram diretamente invadidos. A fraude ocorreu quando os criminosos, de posse das credenciais vazadas da Dilleta, conseguiram autorizar múltiplas transações via Pix em volumes muito acima do normal.
Foi a Celcoin, alertada pelo próprio Banco Central (BC), quem detectou a movimentação atípica e comunicou a FictorPay.
Alerta sobre limites do Pix
O incidente expôs uma brecha nos limites de segurança do Pix. Em setembro, o BC havia estabelecido um limite de R$ 15 mil para transações Pix de instituições não autorizadas ou que usam Prestadores de Serviços de Tecnologia (PSTIs).
No entanto, a FictorPay opera via “Pix Indireto” através da Celcoin, que é uma instituição autorizada e participante direta do Pix, não estando sujeita a esse limite de R$ 15 mil. Isso permitiu que os criminosos realizassem as transferências de alto valor.
Segundo fontes do Estadão Conteúdo, o Banco Central, que já estudava a imposição de limites maiores a todas as instituições, agora trata o assunto com caráter de urgência após o ataque do fim de semana.
(Com informações do Estadão Conteúdo).
