A fintech FictorPay foi alvo de um ataque hacker que teve início por volta das 18 horas do último domingo, 19, que resultou no roubo de cerca de R$ 26 milhões. A fintech é controlada pela holding Fictor, empresa de participações e gestão com foco nos setores de indústria alimentícia, serviços financeiros e infraestrutura. Fundada em 2007 e com 4.000 funcionários, a companhia faturou R$ 3,5 bilhões em 2024 e quer atingir um faturamento de R$ 5 bilhões em 2025.
Os golpistas virtuais encontraram uma brecha no aplicativo white label da empresa contratada pela FictorPay e realizaram pelo menos 280 transações por Pix para aproximadamente 270 contas laranjas em diversos bancos e fintechs. Por meio dessa brecha, os invasores obtiveram acesso à conta da prestadora de serviço, o que permitiu o saque indevido de valores.
As transferências feitas pelos criminosos não se sujeitaram à limitação de valor imposta pelo Banco Central. A FictorPay não é participante do Pix. Ela se conecta ao sistema por meio de empresas prestadoras de serviços que se enquadram nas normas da autoridade monetária e que não tiveram os seus sistemas afetados.
Uma das empresas que presta serviço para a FictorPay é a Celcoin, que informou à reportagem que não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional. Segundo a companhia, foi identificada uma “movimentação atípica” na conta de um cliente, prontamente detectada pelos sistemas de monitoramento.
“Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente”, informou.
Ataque desafia BC
O novo ataque hacker mostra que os bandidos não têm se intimidado com os esforços da autoridade monetária e da Polícia Federal para garantir mais segurança no ambiente virtual de pagamentos.
Como mostrou o PlatôBR, o BC limitou em R$ 15 mil o valor de transferências para instituições de pagamento não autorizadas pela autarquia e para aquelas que se conectam ao sistema financeiro por meio de empresas terceirizadas, conhecidas tecnicamente como PSTIs (Prestadores de Serviços de Tecnologia da Informação). Atualmente, 250 instituições se conectam ao sistema financeiro por meio de terceirizadas.
Procurado, o BC não quis se manifestar. Em contato com a reportagem, o CEO da FictorPay, Ricardo Abdo, afirmou que a empresa contrata prestadoras no mercado buscando excelência no serviço e comprometimento com segurança. Ele ainda disse que a fintech está apurando o ocorrido junto aos seus fornecedores e que a investigação ocorre em sigilo.
Leia a íntegra a nota da empresa:
A Celcoin informa que não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional.
Foi identificada uma movimentação atípica na conta de um cliente, prontamente detectada por nossos sistemas de monitoramento. Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente.
As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente.
Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes.
Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil.
