A CM&Software, na sua página oficial na Internet, assegura que não houve falha técnica ou vulnerabilidade nos seus sistemas. Descarta ainda a possibilidade de invasão externa ou violação técnica da sua infraestrutura.
De acordo com a empresa, “o incidente ocorreu por meio da exploração de credenciais legítimas, fornecidas indevidamente por um colaborador, em contexto externo à empresa. As evidências indicam que, além das credenciais pessoais, outros acessos possam ter sido envolvidos. A estrutura de segurança da CMSW permaneceu íntegra e foi essencial para a rápida contenção e investigação do ocorrido”.
A empresa reporta ainda que o funcionário preso pela polícia civil de São Paulo, e que estava na companhia desde 2022, foi desligado logo após a apuração inicial dos fatos. A decisão, assegura a CM&Software, foi tomada com base nos elementos técnicos coletados, de forma criteriosa e alinhada aos procedimentos internos da companhia.
Com relação às suas ações para evitar novos incidentes, a CM& Software reporta que contratou uma auditoria externa independente para avaliar, reforçar e certificar todos os controles de segurança, além de intensificar as revisões internas de governança e arquitetura.
Informa ainda que está revendo sua política de onboarding, homologação e governança de APIs e acessos externos, com foco em reduzir riscos compartilhados e exigir padrões mais elevados de segurança ativa por parte dos clientes.
Por fim, sustenta que “é vítima de uma ação criminosa externa, que todos os sistemas críticos seguem íntegros, e que a empresa atua com total transparência e colaboração com autoridades, clientes e reguladores. Segurança, conformidade e rastreabilidade seguem como pilares inegociáveis de sua operação”.
