A Polícia Federal está investigando uma invasão ao Siafi (Sistema Integrado de Administração Financeira). O comunicado da Secretaria do Tesouro Nacional a respeito da invasão, feito a outros órgãos da administração federal, ocorreu no dia 12 de abril. Ainda não se sabe se houve desvio de recursos públicos. A Abin (Agência Brasileira de Inteligência) faz a sua própria investigação.
O ataque teria ocorrido através de uma vulnerabilidade no sistema de autenticação Gov.BR. Os criminosos teriam conseguido corromper um usuário e, a partir dele fazer movimentações financeiras no Siafi. Depois isso, os invasores teriam conseguido acompanhar, alterar os destinatários das ordens de bancárias de pagamento e executar pagamentos através do Sistema de Administração Financeira.
Os invasores usaram para isso um produto chamado Obpix, que atua como ordem bancária, mas possui liquidação imediata, como o Pix. O Tesouro Nacional desabilitou o Obpix após a identificação da falha.
O ministro Fernando Haddad (Fazenda) disse nesta segunda disse que o problema foi na autenticação. “Isso que está sendo apurado. Como é que alguém teve acesso tendo sido autenticado. Ou seja, não foi uma ação de um hacker que quebrou segurança. Foi um problema de autenticação. É isso que a Polícia Federal está apurando e obviamente que está rastreando para chegar nos responsáveis”, afirmou.
Valor do prejuízo desconhecido
Ainda não se tem clareza do montante do prejuízo. A Polícia Federal está investigando se alguém realizou as transações, quando ocorream e para quem.
Depois da descoberta do problema, o Siafi recebeu atualização para que problemas semelhantes não ocorram. Uma delas é a exigência dos acessos por meio de certificado digital, o que exige um nível mais alto de segurança e combate à fraude.
Mesmo assim, os golpistas teriam tentado realizar emissão de certificados em nome dos servidores públicos habilitados no sistema de pagamentos. No entanto, os acessos só estão sendo permitidos através de certificados emitidos pelo Serpro (Serviço Federal de Processamento de Dados).
O TCU (Tribunal de Contas da União) deve fazer uma auditoria a respeito do tema. No entanto, ainda não há prazo para que isso ocorra.