O varejo carrega a lacuna padrão de credenciais empresariais — amplificada por uma vulnerabilidade
estrutural específica: mais sistemas terceirizados, mais funcionários sazonais, mais interações com suporte técnico e
uma superfície humana mais ampla para engenharia social do que quase qualquer outro setor.
01 — Fornecedores terceirizados de TI
O suporte técnico que redefine credenciais que não deveria
O suporte técnico de TI da M&S era operado pela TCS. O atacante ligou para a TCS. A TCS
redefiniu a senha. Toda a violação da M&S — £300M, seis semanas offline — rastreou-se a uma credencial entregue por um
suporte técnico terceirizado que não conseguiu verificar quem estava pedindo.
Grandes varejistas terceirizam operações de TI para provedores de serviços gerenciados.
Esses provedores operam suportes técnicos com acesso a capacidades de redefinição de credenciais em todo o ambiente do varejista.
Quando um atacante liga para esse suporte com informações suficientes para passar nas verificações de identidade —
informações coletadas em violações de dados anteriores, redes sociais ou intrusões anteriores — o provedor entrega
o acesso. A MyCena fecha o mecanismo: quando nenhum humano detém uma credencial, uma redefinição pelo suporte técnico
não produz nada de valor para um atacante.
02 — Funcionários sazonais e temporários
Acesso de alta rotatividade que raramente é totalmente revogado
Um grande varejista britânico emprega dezenas de milhares de funcionários sazonais todo Natal.
Cada um detém credenciais. Quando janeiro chega, o processo de desligamento nunca é completo. As credenciais de ex-funcionários
sazonais permanecem ativas. Essas credenciais são os caminhos de acesso dormentes que os atacantes encontram meses depois.
As taxas de rotatividade no varejo estão entre as mais altas de qualquer setor. O
problema de governança de credenciais escala diretamente com o número de funcionários — mais contratações, mais saídas,
mais credenciais criadas, menos revogadas completamente. O desligamento manual em dezenas de sistemas — EPOS, gestão de
estoque, plataformas de fidelidade, sistemas de RH, back-ends de e-commerce — é o processo que falha em escala. A MyCena
revoga todo o acesso em segundos, em todos os sistemas, com um único comando e um registro com data e hora.
03 — Sistemas de pagamento e fidelidade
Credenciais que alcançam dados de cartão e registros de clientes
As credenciais do varejo acessam sistemas de processamento de pagamentos, bancos de dados de
programas de fidelidade, históricos de pedidos e dados pessoais de clientes. 26% dos dados comprometidos em violações no
varejo são dados de credenciais. 12% são dados de pagamento. A credencial é o caminho para ambos.
O PCI DSS v4.0 exige responsabilidade individual do usuário para cada evento de acesso
a ambientes de dados de titulares de cartão. Credenciais compartilhadas em sistemas EPOS, terminais de pagamento e
plataformas financeiras de back-office violam diretamente esse requisito. Um login compartilhado em um sistema de
pagamento é simultaneamente uma falha de conformidade com PCI, uma exposição ao LGPD/GDPR e uma constatação de auditoria —
e no caso de uma violação, a credencial compartilhada significa que ninguém consegue identificar qual indivíduo acessou
quais dados ou quando.
04 — Integração omnicanal
Dezenas de plataformas terceirizadas, cada uma com acesso por credenciais
Um grande varejista se conecta a parceiros de fulfillment, provedores de logística,
plataformas de marketplace, gateways de pagamento, provedores de tecnologia de fidelidade e sistemas de marketing. Cada
integração exige credenciais. 60% das violações no varejo originam-se de vulnerabilidades de fornecedores terceirizados.
Toda plataforma terceirizada que se conecta aos sistemas centrais de um varejista
detém credenciais para esses sistemas. Quando qualquer um desses provedores é comprometido — ou quando seu funcionário
sofre engenharia social — os sistemas do varejista ficam expostos. A violação da M&S entrou pela TCS. A violação da
Adidas entrou por um provedor terceirizado de atendimento ao cliente. No varejo, a superfície de ataque tem o tamanho
da cadeia de fornecimento, não o tamanho do próprio ambiente de TI do varejista.
05 — Confiança do consumidor
60% dos consumidores evitam varejistas após uma violação
Uma violação de credenciais no varejo não é apenas um evento de segurança — é um evento de
relacionamento com o cliente. O preço das ações da M&S caiu 15% nas semanas após a confirmação da violação. Pesquisas
mostram que 60% dos consumidores dizem que provavelmente evitariam um varejista violado, com clientes de renda mais alta
ainda mais propensos a sair permanentemente.
O varejo opera com base em compras recorrentes e confiança na marca. Uma violação na
área da saúde causa dano clínico. Uma violação na manufatura para uma linha de produção. Uma violação no varejo faz as
duas coisas em termos comerciais — destrói o relacionamento com o cliente que cada real de marketing foi gasto para
construir. A perda de £750M na capitalização de mercado da M&S nos dias após a divulgação não foi o custo da violação.
Foi a estimativa do mercado sobre quanto a perda de confiança do cliente valeria ao longo do tempo.
06 — Regulatório
ICO, LGPD/GDPR e PCI DSS após uma violação de dados de clientes
A M&S confirmou que dados pessoais de clientes — nomes, endereços, datas de nascimento
e históricos de pedidos — foram acessados. O ICO e outros reguladores estão avaliando se as medidas técnicas adequadas
estavam em vigor. Multas do GDPR por controles de acesso inadequados em um varejista do porte da M&S podem chegar a
4% do faturamento global.
O Artigo 32 do GDPR exige medidas técnicas e organizacionais adequadas. Quando o
ponto de entrada é uma credencial entregue por um suporte técnico que poderia ter sido governada estruturalmente —
quando a MyCena poderia ter tornado essa redefinição inútil — a pergunta do regulador é se a organização tomou a medida
estrutural disponível ou se dependeu de controles procedimentais que demonstravelmente falham. A abordagem de aplicação
do ICO após a onda de violações no varejo em 2025 será observada de perto em todo o setor.