Em um novo desdobramento dos incidentes de Segurança que impactaram o uso do Pix em instituições financeiras, a JD Consultoria, que atua como Provedora de Serviços de Tecnologia da Informação (PSTI) de uma das organizações impactadas, emitiu uma nota ao mercado e clientes apresentando novos detalhes da origem das crises. A chegada dessas novas informações reacendeu o debate sobre o nível de Segurança dos provedores de TI ligados à infraestrutura do Pix entre os CISOs da comunidade Security Leaders.
Conforme explica a mensagem, a qual a Security Report teve acesso, a JD foi informada por um de seus antigos clientes sobre uma ocorrência que impactou o serviço de transferências por Pix, levando as duas organizações a promoverem uma análise forense interna. A investigação apontou que a crise se deu a partir de certificados digitais expostos de uma base histórica mantida pela JD e que não foram desativadas pela instituição financeira.
Com essa exposição, os agentes hostis teriam acessado as APIs mantidas no Banco Central do Brasil (BC) utilizando as chaves PIA e PIC da instituição financeira. Mesmo que a nota alinhe um possível caminho pelo qual o incidente se deu, os executivos do grupo Security Leaders apontam que ainda faltam dados importantes a serem clarificados, como, por exemplo, a destinação da base histórica da JD que teria dado origem ao vazamento.
Independentemente da falta de confirmações, os executivos de SI reforçaram as orientações habituais do BC para ocorrências desse tipo: Instituições que mantêm ou mantiveram conexão com a JD – e que ainda não renovaram seus certificados – precisam substituir de imediato os dispositivos expostos com vistas a mitigar riscos de novos ataques.
Além dessas medidas, o Banco Central também estaria ativo na resposta a essa questão. Como medida preventiva e cautelar, a autoridade monetária restringiu transações da JD fora do horário de grade do Sistema de Pagamentos Brasileiro (SPB), incluindo o período do feriado de Carnaval. Com essas medidas, o Bacen busca reafirmar sua posição ativa na mitigação de grandes impactos contra um dos meios de pagamento mais importantes do país.
Controles rígidos no Carnaval
Essa crise teria motivado o Bacen a se reunir com a JD Consultoria para alinhar a desconformidade desses e outros certificados digitais com resolução da autoridade reguladora. O comunicado explica que a existência de outras instituições com certificados irregularmente ativos levou o BC a impor uma medida cautelar contra elas de modo a restringir as suas transações por Pix durante o feriado de Carnaval.
A proposta era que tais empresas apenas pudessem movimentar os valores do Pix em dias com expedientes bancários, permitindo um monitoramento mais firme por parte do BC. A nota ainda acrescenta que o pré-requisito estipulado para remoção da medida é a regularização integral da Instituição no que diz respeito a renovação, desativação e guarda do certificado em infraestrutura própria.
“Vale mencionar que o processo de desativação dos certificados no Banco Central é diferente no Pix e no Sistema de Pagamentos Brasileiro. No SPB, uma vez que o certificado é atualizado, o antigo é automaticamente desativado. Já no Pix, múltiplos certificados podem estar ativos simultaneamente, sendo necessário realizar uma operação para desativar o certificado antigo, via BC CORREIO”, aponta o comunicado.
Possível desdobramento do caso BNB
Embora a mensagem da JD Consultoria não nomeie diretamente a instituição financeira com quem teve essa interação, reportagem publicada pelo Valor Econômico aponta que seria o Banco do Nordeste do Brasil, alvo de um incidente de Segurança contra o sistema do Pix no final de janeiro. A data dessa ocorrência coincide com o momento em que a JD teria sido informada por esse cliente.
Na época, o BNB informou, por meio de comunicado próprio, que a companhia ativou seus protocolos de SI tão logo a situação foi detectada, paralisando temporariamente o meio de pagamento. Além disso, as equipes técnicas internas estavam trabalhando diretamente com o Bacen para analisar a extensão do ocorrido e restaurar as operações de forma segura.
A vulnerabilidade das infraestruturas que movimentam o Pix foi ressaltada pelo Gerente Executivo de TI na Aegis Energy, Clayton Soares, em entrevista recente à Security Report. Conforme ele explicou então, “o que atrai os hackers para esse tipo de ataque é a simplicidade de alteração do código da aplicação para gerar um Pix para um terceiro não autorizado. Assim, uma vez que grandes empresas possuem fortes controles de Segurança, os invasores buscam o elo mais frágil para atacar”.
*Com informações do Valor Econômico
