Ataque à FictorPay: Ataque Hacker a Fintech leva 26 milhões.

Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 23 de outubro de 2025

O ataque à fintech FictorPay, que resultou no roubo de cerca de R$ 26 milhões em transfers via Pix, deixou uma lição clara para o mercado financeiro: não é preciso “quebrar” um sistema se você consegue as chaves para usá-lo. Segundo as apurações, os invasores exploraram uma vulnerabilidade em um sistema ERP de fornecedor terceirizado e obtiveram certificados digitais e credenciais de pagamento, o que lhes permitiu orquestrar 282 transferências para 271 contas laranjas. Em outras palavras, não foi (apenas) um ataque sofisticado contra a infraestrutura — foi uma falha de gestão e proteção de credenciais.

O fator decisivo: credenciais e certificados comprometidos

Muitos incidentes que viram manchete como “ataques hackers” derivam, na prática, de acesso com credenciais válidas — logins, chaves privadas, certificados ou tokens que autorizam operações financeiras. Quando invasores colocam as mãos nesses elementos, atuam como usuários legítimos do sistema: não precisam explorar vulnerabilidades técnicas complexas; simplesmente executam operações autorizadas.

No caso da FictorPay, a cadeia envolveu um fornecedor white-label — ou seja, um terceiro com acesso sistêmico ao ambiente de pagamentos. Essa dependência externa ampliou a superfície de ataque: bastou comprometer o fornecedor para alcançar credenciais sensíveis.

Por que isso é falha de segurança digital (e não só “crime sofisticado”)

Chamar tudo de “hack” glamouroso mascara o problema real. Aqui estão os pontos que caracterizam falha de segurança digital neste episódio:

  • Gestão inadequada de identidades e segredos: certificados e credenciais não foram protegidos com controles robustos (cofres de segredos, rotação automática, uso mínimo de privilégios).
  • Dependência de terceiros sem governança suficiente: fornecedores com acesso privilegiado foram vetores críticos.
  • Ausência ou falha de controles de detecção: movimentações atípicas (múltiplos Pix para contas diferentes) não foram detectadas a tempo de interromper as operações.
  • Políticas de segregação insuficientes: sistemas críticos (ERP, gateways) possuíam caminhos de autorização que permitiram ações em cadeia.

Assim, o vetor não foi um “super-hack” explorando zero-day em grande escala — foi a comprovação de que credenciais fracas ou mal geridas abrem portas tão perigosas quanto qualquer vulnerabilidade técnica.

Impactos práticos do comprometimento de credenciais

Quando certificados e credenciais são roubados:

  • invasores conseguem autenticar transações como se fossem usuários legítimos;
  • operações financeiras são executadas sem disparar controles básicos (quando estes não existem);
  • rastreabilidade e forense ficam mais difíceis (operações surgem ligadas a usuários legítimos);
  • a confiança entre parceiros e clientes é abalada;
  • a exposição regulatória aumenta — autoridades (Banco Central, órgãos de defesa do consumidor) exigem respostas rápidas.

No caso reportado, o Banco Central passou a monitorar o incidente e a própria estrutura de BaaS/Core Banking que se relaciona com FictorPay foi colocada em alerta.

O que deveria (e pode) ser feito para prevenir esse tipo de ataque

1) Gestão de segredos e certificados (urgente)

  • Centralizar chaves, tokens e certificados em cofres de segredos (Secret Manager/HashiCorp Vault/AWS Secrets Manager), com controle de acesso granular.
  • Rotacionar senhas e chaves automaticamente em intervalos curtos e após qualquer suspeita de incidente.
  • Evitar armazenar credenciais em código, arquivos de configuração ou ERPs acessíveis sem criptografia.

2) Autenticação e autorização robustas

  • Adotar autenticação multifator (MFA) para todo acesso privilegiado, incluindo integrações de API entre fornecedores e plataformas.
  • Implementar princípio do menor privilégio (Least Privilege) e revisão periódica de roles/permissões.
  • Segregar ambientes (desenvolvimento/teste/produção) sem compartilhamento de credenciais.

3) Governança de terceiros (Vendor Risk Management)

  • Auditar fornecedores com acesso crítico (pen tests, revisão de logs, exigência de práticas de segurança).
  • Exigir contratos com cláusulas de segurança: criptografia, rotação de chaves, responsabilidades e notificação imediata de incidentes.
  • Limitar o escopo de acesso de parceiros: conceder somente o mínimo necessário.

4) Monitoramento, detecção e resposta (SIEM / EDR / SOAR)

  • Implantar monitoramento em tempo real de transações financeiras com regras de anomalia (ex.: muitos Pix em curto intervalo, múltiplos beneficiários, valores atípicos).
  • Ter playbooks de resposta para congelamento automático de fluxos suspeitos e coordenação com bancos e reguladores.
  • Manter logs imutáveis e reter evidências para investigação forense.

5) Testes e exercícios de resiliência

  • Realizar simulações de ataque (red team) que considerem vetores de credenciais (phishing, compromissos de fornecedores).
  • Testar planos de recuperação e devolução (como Mecanismo Especial de Devolução para Pix) e rotinas de failover.

6) Cultura, treinamento e conscientização

  • Treinar equipes e fornecedores sobre riscos de engenharia social, phishing e armazenamento inseguro de credenciais.
  • Promover rotinas de revisão de acessos e “recertificação” periódica.

Procedimentos imediatos para vítimas de movimentações via Pix

  • Acionar o banco imediatamente para pedido de bloqueio e abertura do processo de devolução (MED).
  • Registrar Boletim de Ocorrência com todos os comprovantes e protocolos.
  • Notificar o Banco Central e órgãos de defesa do consumidor, se aplicável.
  • Preservar logs e evidências (prints, e-mails, contratos com fornecedores) para as investigações.

O papel da regulação e da supervisão (por que o BC e outros órgãos devem atuar)

Incidentes que exploram credenciais e fornecedores exigem atuação regulatória porque:

  • afetam a estabilidade do sistema financeiro;
  • evidenciam a necessidade de normas mínimas para governança de acesso e auditoria de terceiros;
  • demonstram que mecanismos de supervisão (reportes obrigatórios de incidentes, sanções por negligência) são ferramentas para aumentar a proteção coletiva.

O episódio testa a capacidade do mercado e do regulador em coordenar bloqueios, devoluções e medidas preventivas que evitem novos golpes.

Conclusão: prevenir credenciais comprometidas é proteger o sistema inteiro

O ataque à FictorPay deixa uma mensagem cristalina: proteger credenciais e certificados é tão crítico quanto proteger o código-fonte ou a rede. Quando a “chave” é obtida, o invasor usa o sistema contra seu dono.

Investimento em tecnologia deve sempre andar junto com governança: cofres de segredos, MFA, governança de terceiros, monitoramento e cultura de segurança. Sem isso, o prejuízo financeiro é apenas a primeira consequência — vem depois a perda de confiança, risco regulatório e ameaça sistêmica.

Se quiser, eu transformo esse conteúdo em HTML pronto para o WordPress, adiciono uma checklist prática para auditoria interna ou crio uma versão técnica (para CTOs e CISOs) com recomendações técnicas detalhadas para implementação imediata.

Fontes: Reportagens e apurações sobre o incidente (20–21/10/2025) e documentação técnica sobre proteção de credenciais e segurança em pagamentos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *