Entenda o Incidente de Segurança no Siafi que fez o Tesouro exigir a autenticação exclusivamente com Certificados Digitais ICP-Brasil
22 de abril de 2024Atualizado em 23 de abril de 2024 as 7h.
Em abril de 2024, o Siafi (Sistema de Administração Financeira do Governo Federal) sofreu um ataque cibernético. O sistema, que gerencia pagamentos governamentais, foi comprometido por cibercriminosos que utilizaram credenciais de gestores habilitados para acessar e realizar transações financeiras não autorizadas.
O ataque foi detectado após uma tentativa de operação via PIX com o CPF de um dos gestores, método não utilizado pelo governo para pagamentos. Suspeita-se que os dados foram obtidos por meio de técnicas de “phishing”, onde os criminosos se passam por entidades confiáveis para coletar informações confidenciais.
Como resposta, o Tesouro Nacional implementou medidas adicionais de segurança, incluindo a autenticação de usuários apenas por certificado digital ICP-Brasil emitido pelo Serpro (Serviço Federal de Processamento de Dados).
A Polícia Federal e a Abin (Agência Brasileira de Inteligência) estão investigando o incidente e tentativas subsequentes de invasão, inclusive aquelas que supostamente utilizam certificados digitais de empresas privadas.
Paralelamente, o Banco Central confirmou um vazamento separado envolvendo mais de 3 mil chaves Pix, marcando a oitava ocorrência de vazamento desde o lançamento do Pix em 2020.
A Invasão ao Sistema de Pagamentos do Governo Levanta Suspeitas de Desvio de Recursos
A Polícia Federal e a Abin Investigam o Caso
A Polícia Federal (PF) e a Agência Brasileira de Inteligência (Abin) estão investigando uma invasão ao Sistema Integrado de Administração Financeira do Governo Federal (Siafi). Há suspeitas de que hackers operando através da internet, tenham tentado desviar recursos para contas pessoais utilizando o sistema de pagamentos instantâneos Pix.
As ordens de pagamento suspeitas teriam sido emitidas por meio de ordens de empenho fraudulentas.
O Tesouro Nacional, responsável pela gestão do Siafi, foi obrigado a implementar medidas adicionais de segurança. As investigações preliminares indicam que os invasores utilizaram certificados digitais dos gestores do sistema para executar comandos não autorizados.
Certificados Digitais ICP-Brasil: Uma Camada Essencial de Segurança
Os certificados digitais ICP-Brasil são documentos eletrônicos que servem como identidade virtual para pessoas físicas ou jurídicas, permitindo a assinatura de documentos à distância com validade jurídica equivalente à assinatura de próprio punho. No Siafi, os certificados digitais ICP-Brasil vão agregar uma camada adicional que garante Integridade, autenticidade, conformidade, confidencialidade, disponibilidade, legalidade e irretratabilidade – não repúdio.
Detalhes da Invasão
Os hackers conseguiram acesso às contas gov.br dos gestores do Siafi, bem como às senhas, permitindo-lhes acessar os serviços e liberar pagamentos não autorizados.
Acredita-se que as credenciais foram obtidas por meio de ataques de phishing, uma técnica de engenharia social que utiliza iscas, como links para páginas falsas, para coletar dados de usuários desavisados.
Tentativa de Transferência Via Pix
Em um dos episódios, os invasores tentaram realizar uma transferência instantânea via Pix. No entanto, o sistema identificou que o CPF utilizado como chave Pix era o mesmo para o remetente e o destinatário, o que é proibido pelas normas governamentais.
Esse evento alertou a operação o Tesouro Nacional a reforçar a exigência do uso de certificado digital para transações, visando prevenir futuras tentativas de fraude.
A adoção de certificados digitais é uma medida preventiva crucial para proteger sistemas como o Siafi contra atividades ilícitas. Eles funcionam como uma barreira robusta, dificultando a ação de criminosos cibernéticos e assegurando a confiabilidade das operações financeiras do governo.
Comunicado da Siafi
Atenção: mudança no Login pelo Gov.Br!
O acesso ao SIAFI usando o login do Gov.Br requer conta ouro, verificação em 2 etapas habilitada e uso de certificado digital. Para habilitar a verificação em 2 etapas no Gov.Br, clique aqui.
Agora só poderão assinar documentos no sistema quem tiver certificado digital emitido pelo órgãos de governo. SERPRO, RECEITA, DEFESA E PRESIDÊNCIA., Conforme determina CTIR GOV – CENTRO DE PREVENSÃO CIBERNÉTICOS DO GOVERNO, ALERTA 07/2024
Nota oficial do Tesouro Nacional
Segundo nota à imprensa publicada pelo Tesouro Nacional em 22/04/2024 18h14
“Em relação aos recentes eventos envolvendo acessos indevidos ao SIAFI (Sistema de Administração Financeira do Governo Federal), o Tesouro Nacional esclarece:
O episódio não configura uma invasão, mas sim uma utilização indevida de credenciais obtidas de modo irregular. As tentativas de realizar operações na plataforma foram identificadas e não causaram prejuízos à integridade do sistema.
Todas as medidas necessárias vêm sendo tomadas pela STN em resposta ao caso, incluindo a implementação de ações adicionais para reforçar a segurança do sistema.
O Tesouro Nacional trabalha em colaboração com as autoridades competentes para a condução das investigações; e reitera seu compromisso com a transparência, a segurança dos sistemas governamentais e a preservação do adequado zelo das informações, até o término das apurações.”
Nota de Esclarecimento Ministério da Gestão e da Inovação em Serviços Públicos
“Nota do Ministério da Gestão e da Inovação em Serviços Públicos sobre os recentes eventos envolvendo acessos indevidos a um sistema do governo publicada em 22/04/2024 21h08
Em relação aos recentes eventos envolvendo acessos indevidos a um sistema do governo, o Ministério da Gestão e da Inovação em Serviços Públicos esclarece que o episódio não configura uma falha de segurança no GOV.BR, mas sim uma utilização indevida de credenciais obtidas de modo irregular, que já está sendo investigada pelos órgãos competentes.
O ministério recomenda a todos os usuários que utilizem as ferramentas de segurança disponíveis no GOV.BR, como a validação em duas etapas e a gestão de dispositivos, que protegem a conta GOV.BR. Caso seja necessário, os usuários podem utilizar os canais oficiais da pasta para sanar dúvidas sobre a sua conta, como o gov.br/atendimento.”
GOVERNO E TECNOLOGIA
Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.
Acesse agora e conheça nossa coluna GovTech!
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.