Últimas notícias

Fique informado
Entenda o Incidente de Segurança no Siafi que fez o Tesouro exigir a autenticação exclusivamente com Certificados Digitais ICP-Brasil

Entenda o Incidente de Segurança no Siafi que fez o Tesouro exigir a autenticação exclusivamente com Certificados Digitais ICP-Brasil

22 de abril de 2024

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Atualizado em 23 de abril de 2024 as 7h.

Em abril de 2024, o Siafi (Sistema de Administração Financeira do Governo Federal) sofreu um ataque cibernético. O sistema, que gerencia pagamentos governamentais, foi comprometido por cibercriminosos que utilizaram credenciais de gestores habilitados para acessar e realizar transações financeiras não autorizadas.

O ataque foi detectado após uma tentativa de operação via PIX com o CPF de um dos gestores, método não utilizado pelo governo para pagamentos. Suspeita-se que os dados foram obtidos por meio de técnicas de “phishing”, onde os criminosos se passam por entidades confiáveis para coletar informações confidenciais.

Como resposta, o Tesouro Nacional implementou medidas adicionais de segurança, incluindo a autenticação de usuários apenas por certificado digital ICP-Brasil emitido pelo Serpro (Serviço Federal de Processamento de Dados).

A Polícia Federal e a Abin (Agência Brasileira de Inteligência) estão investigando o incidente e tentativas subsequentes de invasão, inclusive aquelas que supostamente utilizam certificados digitais de empresas privadas.

Paralelamente, o Banco Central confirmou um vazamento separado envolvendo mais de 3 mil chaves Pix, marcando a oitava ocorrência de vazamento desde o lançamento do Pix em 2020.

A Invasão ao Sistema de Pagamentos do Governo Levanta Suspeitas de Desvio de Recursos

A Polícia Federal e a Abin Investigam o Caso

A Polícia Federal (PF) e a Agência Brasileira de Inteligência (Abin) estão investigando uma invasão ao Sistema Integrado de Administração Financeira do Governo Federal (Siafi). Há suspeitas de que hackers operando através da internet, tenham tentado desviar recursos para contas pessoais utilizando o sistema de pagamentos instantâneos Pix.

As ordens de pagamento suspeitas teriam sido emitidas por meio de ordens de empenho fraudulentas.

O Tesouro Nacional, responsável pela gestão do Siafi, foi obrigado a implementar medidas adicionais de segurança. As investigações preliminares indicam que os invasores utilizaram certificados digitais dos gestores do sistema para executar comandos não autorizados.

Certificados Digitais ICP-Brasil: Uma Camada Essencial de Segurança 

Os certificados digitais ICP-Brasil são documentos eletrônicos que servem como identidade virtual para pessoas físicas ou jurídicas, permitindo a assinatura de documentos à distância com validade jurídica equivalente à assinatura de próprio punho. No Siafi, os certificados digitais ICP-Brasil vão agregar uma camada adicional que garante Integridade, autenticidade, conformidade, confidencialidade, disponibilidade, legalidade e irretratabilidade – não repúdio.

Detalhes da Invasão

Os hackers conseguiram acesso às contas gov.br dos gestores do Siafi, bem como às senhas, permitindo-lhes acessar os serviços e liberar pagamentos não autorizados.

Acredita-se que as credenciais foram obtidas por meio de ataques de phishing, uma técnica de engenharia social que utiliza iscas, como links para páginas falsas, para coletar dados de usuários desavisados.

Tentativa de Transferência Via Pix 

Em um dos episódios, os invasores tentaram realizar uma transferência instantânea via Pix. No entanto, o sistema identificou que o CPF utilizado como chave Pix era o mesmo para o remetente e o destinatário, o que é proibido pelas normas governamentais.

Esse evento alertou a operação o Tesouro Nacional a reforçar a exigência do uso de certificado digital para transações, visando prevenir futuras tentativas de fraude.

A adoção de certificados digitais é uma medida preventiva crucial para proteger sistemas como o Siafi contra atividades ilícitas. Eles funcionam como uma barreira robusta, dificultando a ação de criminosos cibernéticos e assegurando a confiabilidade das operações financeiras do governo.

Comunicado da Siafi

Atenção: mudança no Login pelo Gov.Br!

O acesso ao SIAFI usando o login do Gov.Br requer conta ouro, verificação em 2 etapas habilitada e uso de certificado digital. Para habilitar a verificação em 2 etapas no Gov.Br, clique aqui.

Agora só poderão assinar documentos no sistema quem tiver certificado digital emitido pelo órgãos de governo. SERPRO, RECEITA, DEFESA E PRESIDÊNCIA., Conforme determina CTIR GOV – CENTRO DE PREVENSÃO CIBERNÉTICOS DO GOVERNO, ALERTA 07/2024

Nota oficial do Tesouro Nacional

Segundo nota à imprensa publicada pelo Tesouro Nacional em 22/04/2024 18h14

“Em relação aos recentes eventos envolvendo acessos indevidos ao SIAFI (Sistema de Administração Financeira do Governo Federal), o Tesouro Nacional esclarece:

O episódio não configura uma invasão, mas sim uma utilização indevida de credenciais obtidas de modo irregular. As tentativas de realizar operações na plataforma foram identificadas e não causaram prejuízos à integridade do sistema.

Todas as medidas necessárias vêm sendo tomadas pela STN em resposta ao caso, incluindo a implementação de ações adicionais para reforçar a segurança do sistema.

O Tesouro Nacional trabalha em colaboração com as autoridades competentes para a condução das investigações; e reitera seu compromisso com a transparência, a segurança dos sistemas governamentais e a preservação do adequado zelo das informações, até o término das apurações.”

Nota de Esclarecimento Ministério da Gestão e da Inovação em Serviços Públicos

“Nota do Ministério da Gestão e da Inovação em Serviços Públicos sobre os recentes eventos envolvendo acessos indevidos a um sistema do governo publicada em 22/04/2024 21h08

Em relação aos recentes eventos envolvendo acessos indevidos a um sistema do governo, o Ministério da Gestão e da Inovação em Serviços Públicos esclarece que o episódio não configura uma falha de segurança no GOV.BR, mas sim uma utilização indevida de credenciais obtidas de modo irregular, que já está sendo investigada pelos órgãos competentes. 

O ministério recomenda a todos os usuários que utilizem as ferramentas de segurança disponíveis no GOV.BR, como a validação em duas etapas e a gestão de dispositivos, que protegem a conta GOV.BR. Caso seja necessário, os usuários podem utilizar os canais oficiais da pasta para sanar dúvidas sobre a sua conta, como o gov.br/atendimento.”

GOVERNO E TECNOLOGIA

Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.

Acesse agora e conheça nossa coluna GovTech!

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.