📝 Transcrição do Episódio

(00:01 ) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 397, gravado em 14 de julho de 2025. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, trago para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Olá aos internautas.

(00:26 ) Como vão? Tudo certo? Tudo bem? Vocês já sabem, este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Então, pegue o seu café ou a sua bebida preferida. No caso, hoje estamos com chimarrão aqui, Vinícius, e venha com a gente. Hoje está quente. Hoje é dia de tomar água.

(00:44 ) Para entrar em contato conosco, você já sabe, basta enviar uma mensagem para podcast@segurançalegal.com ou também nos encontrar no Mastodon, Instagram, Bluesky e YouTube. Se você nos ouve pelo feed, sabe que também consegue ver os nossos rostinhos bonitos lá no YouTube. Vinícius, uma pequena atualização sobre o caso CM, o caso do nosso último episódio, o grande hack dos últimos tempos, senão o maior hack, a maior fraude já cometida no Brasil, pelo menos é o que se tem até agora.

(01:20 ) Em termos de valores, sem dúvida nenhuma, é o maior. Não em dados, mas em valor financeiro movimentado. A coisa realmente se concretizou no sentido de se confirmar que deve, sim, passar de 1 bilhão. Não sei se chega a três, que chegou a ser discutido, chegou a ser falado em 3 bilhões de reais na questão da fraude. Se você não sabe do que estamos falando, tem que voltar nos episódios anteriores. No anterior, na verdade.

(01:53 ) No 396. É o caso do REC bancário, CM, Banco BMP e tudo mais. Isso. O que temos que talvez não comentamos na semana passada, porque aconteceu depois, ou pelo menos ficamos sabendo depois, é que a Polícia Civil entrou também na investigação. Existe uma investigação paralela da Polícia Civil.

(02:17 ) O que temos até o momento é que a BMP confirmou o prejuízo de 541 milhões. Outras duas instituições confirmaram 104 milhões e outra, 49 milhões. Isso ainda não dá 1 bilhão, mas a soma preliminar, segundo o que sabemos, supera 1 bilhão, embora não tenhamos a listagem de tudo o que foi perdido. Não temos a listagem exata de quem perdeu o quê.

(02:45 ) Então, sim, passou de 1 bilhão e vamos ver se chega nos três que o pessoal chegou a comentar na semana em que gravamos. A outra questão, que vocês já sabem, é que o dinheiro foi convertido, em boa parte, para criptomoeda. Existe uma investigação para seguir o caminho do dinheiro, mas, em última análise, ele vai chegar a uma exchange que vendeu criptoativos, e alguma conta legítima recebeu esses criptoativos e os passou para algum lugar. E aí, boa sorte. Mas esses intermediários a polícia vai conseguir levantar, e está levantando.

(03:23 ) Não sabemos se já não levantou. Então, a Polícia Federal e a Polícia Civil estão fazendo investigações paralelas sobre este caso. Um bilhão está confirmado.

(03:44 ) Por enquanto, ainda não temos informação técnica, não temos mais nenhuma novidade, pelo menos não por enquanto. A própria CM frisou que a questão foram as credenciais que o atacante conseguiu, e não uma falha no sistema, uma falha de segurança no sistema. O termo que ela usou, mas entendemos muito bem que, na mídia em geral, ela tem que… O termo que o pessoal usa… Ela falou que não é nenhum problema no código-fonte dela.

(04:17 ) Leia-se: ela está dizendo que não foi uma vulnerabilidade no sistema, uma vulnerabilidade técnica no sistema. Pode ter sido, e pelo visto existe, tanto que aconteceu, uma vulnerabilidade do ambiente. Se vocês pegarem a ISO 27002, que tem os controles da ISO 27001, verão que, quando falamos de segurança da informação, não se fala apenas da segurança técnica da aplicação, as vulnerabilidades que ela tem, se está exposta ou não, superfície de ataque, esse tipo de coisa, mas abrange, entre outras coisas, processo de contratação, gerenciamento de credenciais e até liberação de usuários, controle de acesso a certas operações e tudo mais.

(05:01 ) Então, sim, a CM está correta. Se não há vulnerabilidade no sistema, está correta em dizer que não tiveram um problema por causa do sistema. Mas, sim, eles tiveram um problema de segurança no ambiente deles, que permitiu que alguém subornasse um funcionário.

(05:25 ) E esse funcionário fez alguma coisa que ainda não sabemos o que é. Executou scripts, executou comandos etc. Ok, mas que comandos exatamente, o que foi, nós não sabemos, ou pelo menos não chegou até nós ainda.

(05:43 ) E ele conseguiu credenciais de clientes da CM, que é a BMP e outras empresas, e mexeu no dinheiro deles, conforme o episódio 396. Tem outra coisa que não comentamos: essa é uma característica de fraudes dessa natureza. Já gravamos sobre isso várias vezes, já falamos sobre a questão da confidencialidade das informações e sobre como as instituições, em geral, ao redor do mundo, acabam lidando com isso. Elas não têm incentivos nem interesses de trazer a público todas as explicações das falhas, porque isso pode comprometê-las de formas muito diferentes.

(06:22 ) Mas uma coisa que não comentamos, e aí sim há uma obrigação legal, são as comunicações necessárias do incidente de segurança que eventualmente envolva dados pessoais. Eu não vi nas notícias, até agora, nenhuma informação sobre tratamento ilícito de dados pessoais. Mas, se formos partir do pressuposto de que o sujeito teve um acesso tão longo aos sistemas, se ele criou transações Pix, se ele forjou transações Pix, ele provavelmente não forjou transações apenas de pessoas jurídicas.

(07:05 ) Ele também pode ter forjado transações Pix de pessoas físicas. Se isso aconteceu, o incidente também envolveu tratamento ilícito de dados pessoais e, portanto, deveria contar com a notificaç