M&S. Co-op. Harrods. Três dos varejistas mais reconhecidos da Grã-Bretanha. Dez dias. Um único ponto de entrada.

Na primavera de 2025, os invasores ligaram para os serviços de suporte de TI, se passaram por funcionários e solicitaram redefinições de senha. Os colaboradores atenderam às solicitações. A credencial foi entregue. Em todos os casos, as defesas técnicas foram completamente contornadas — sem exploração, sem vulnerabilidade, apenas uma credencial que nunca deveria ter existido nas mãos de usuários. A MyCena remove o mecanismo antes que a ligação seja feita.
0
Lucro perdido estimado — M&S, seis semanas de pedidos online suspensos após uma única redefinição de senha em um serviço de suporte terceirizado.
0
Perdas combinadas estimadas — M&S, Co-op e Harrods em dez dias. Três marcas. Um único método de ataque.
0
Aumento nos ataques de ransomware contra o varejo no primeiro trimestre de 2025. 60% das violações no varejo têm origem em vulnerabilidades de fornecedores terceirizados.
0
Membros da Co-op afetados — nomes, datas de nascimento e dados de contato. Acessados por meio de uma única redefinição de senha obtida através de uma falsa identidade.
O padrão de 2025

Três violações. Dez dias. Mesmo ponto de entrada.

O grupo atacante não explorou nenhuma vulnerabilidade de software em nenhum dos três incidentes. Eles ligaram para o suporte técnico, se passaram por um funcionário, e pediram a redefinição de senha. A credencial foi entregue. Tudo que se seguiu — ransomware, roubo de dados, semanas de interrupção operacional — decorreu desse momento.

Marks & Spencer — Abril de 2025
£300M
Os atacantes se passaram por um funcionário da M&S e ligaram para o suporte técnico de TI operado pela TCS, o fornecedor terceirizado. Uma redefinição de senha foi realizada. Pedidos online suspensos por seis semanas. £750M eliminados da capitalização de mercado.
O presidente da M&S, Archie Norman, confirmou à Subcomissão de Negócios e Comércio do Parlamento britânico que a entrada inicial em 17 de abril ocorreu por meio de engenharia social — um atacante se passando por uma das 50.000 pessoas associadas à empresa, convencendo um suporte técnico terceirizado a redefinir sua senha. Com essas credenciais, os atacantes extraíram o arquivo Windows Active Directory NTDS.dit — o banco de dados contendo hashes de senha de cada usuário do domínio — quebraram esses hashes offline e implantaram o ransomware DragonForce no fim de semana da Páscoa. Pagamentos sem contato, Click & Collect e pedidos online foram todos suspensos. A M&S estimou £300M em lucro operacional perdido. A empresa não tinha seguro cibernético. A Harrods e a Co-op foram atacadas pelo mesmo grupo usando o mesmo método em questão de dias.
Ponto de entrada: redefinição de credencial no suporte técnico de TI terceirizado — confirmado pelo presidente da M&S em depoimento parlamentar
Co-op — Abril de 2025
6,5M
Mesmo grupo atacante. Mesmo método — se passando por um colega, respondendo perguntas de segurança, obtendo a redefinição de uma conta. Dados pessoais de 6,5 milhões de membros acessados. A Co-op conteve a violação em horas.
O Diretor de Informação Digital da Co-op, Rob Elsey, confirmou em depoimento parlamentar que os atacantes “se passaram por um colega e responderam com sucesso a uma série de perguntas de segurança para obter a redefinição de sua conta.” A diferença no resultado — a Co-op contida em horas versus a M&S offline por seis semanas — foi a velocidade de detecção e a segmentação de rede. Os sistemas da Co-op eram fortemente segmentados. O atacante ficou confinado a uma zona. Na M&S, a detecção veio dois dias após a entrada. Nesse momento, os atacantes já tinham se movido lateralmente por todo o ambiente. A lição não é que a segmentação impede a violação de credenciais — é que a violação de credenciais ocorreu nos dois casos por meios idênticos.
Ponto de entrada: personificação de funcionário, redefinição de conta via perguntas de segurança — confirmado pelo CDIO da Co-op em depoimento parlamentar
Harrods — Maio de 2025
Contido
Terceiro ataque em dez dias a um varejista britânico. A Harrods restringiu o acesso à internet e isolou sistemas em horas. As lojas permaneceram abertas. O NCSC emitiu orientações para todo o setor varejista.
A Harrods confirmou tentativas de obter acesso não autorizado a seus sistemas em 1º de maio de 2025. A resposta rápida da empresa — restringindo o acesso à internet em todos os locais e isolando sistemas proativamente — limitou o impacto. Nenhum dado de cliente foi confirmado como acessado. Todas as lojas e o site permaneceram em operação. O CEO do NCSC, Richard Horne, emitiu uma declaração chamando os incidentes de “um alerta para todas as organizações” e direcionou todos os varejistas a revisarem imediatamente seus processos de redefinição de senha no suporte técnico de TI. A intervenção do NCSC tornou explícito o que os três incidentes demonstraram: o suporte técnico é a superfície de ataque, e a credencial entregue por esse suporte é o ponto de entrada.
Ponto de entrada: mesmo grupo atacante e método — detecção rápida limitou o impacto

Em todos os casos, o atacante se autenticou como um usuário legítimo — porque a credencial era legítima. Nenhum firewall foi violado. Nenhum software foi explorado. Uma pessoa foi enganada para entregar o acesso. A MyCena remove o que é entregue: quando as credenciais nunca estão nas mãos de humanos, não há nada que uma ligação ao suporte técnico possa extrair.

Panorama de riscos

Seis riscos de credenciais específicos do varejo

O varejo carrega a lacuna padrão de credenciais empresariais — amplificada por uma vulnerabilidade estrutural específica: mais sistemas terceirizados, mais funcionários sazonais, mais interações com suporte técnico e uma superfície humana mais ampla para engenharia social do que quase qualquer outro setor.

01 — Fornecedores terceirizados de TI
O suporte técnico que redefine credenciais que não deveria
O suporte técnico de TI da M&S era operado pela TCS. O atacante ligou para a TCS. A TCS redefiniu a senha. Toda a violação da M&S — £300M, seis semanas offline — rastreou-se a uma credencial entregue por um suporte técnico terceirizado que não conseguiu verificar quem estava pedindo.
Grandes varejistas terceirizam operações de TI para provedores de serviços gerenciados. Esses provedores operam suportes técnicos com acesso a capacidades de redefinição de credenciais em todo o ambiente do varejista. Quando um atacante liga para esse suporte com informações suficientes para passar nas verificações de identidade — informações coletadas em violações de dados anteriores, redes sociais ou intrusões anteriores — o provedor entrega o acesso. A MyCena fecha o mecanismo: quando nenhum humano detém uma credencial, uma redefinição pelo suporte técnico não produz nada de valor para um atacante.
02 — Funcionários sazonais e temporários
Acesso de alta rotatividade que raramente é totalmente revogado
Um grande varejista britânico emprega dezenas de milhares de funcionários sazonais todo Natal. Cada um detém credenciais. Quando janeiro chega, o processo de desligamento nunca é completo. As credenciais de ex-funcionários sazonais permanecem ativas. Essas credenciais são os caminhos de acesso dormentes que os atacantes encontram meses depois.
As taxas de rotatividade no varejo estão entre as mais altas de qualquer setor. O problema de governança de credenciais escala diretamente com o número de funcionários — mais contratações, mais saídas, mais credenciais criadas, menos revogadas completamente. O desligamento manual em dezenas de sistemas — EPOS, gestão de estoque, plataformas de fidelidade, sistemas de RH, back-ends de e-commerce — é o processo que falha em escala. A MyCena revoga todo o acesso em segundos, em todos os sistemas, com um único comando e um registro com data e hora.
03 — Sistemas de pagamento e fidelidade
Credenciais que alcançam dados de cartão e registros de clientes
As credenciais do varejo acessam sistemas de processamento de pagamentos, bancos de dados de programas de fidelidade, históricos de pedidos e dados pessoais de clientes. 26% dos dados comprometidos em violações no varejo são dados de credenciais. 12% são dados de pagamento. A credencial é o caminho para ambos.
O PCI DSS v4.0 exige responsabilidade individual do usuário para cada evento de acesso a ambientes de dados de titulares de cartão. Credenciais compartilhadas em sistemas EPOS, terminais de pagamento e plataformas financeiras de back-office violam diretamente esse requisito. Um login compartilhado em um sistema de pagamento é simultaneamente uma falha de conformidade com PCI, uma exposição ao LGPD/GDPR e uma constatação de auditoria — e no caso de uma violação, a credencial compartilhada significa que ninguém consegue identificar qual indivíduo acessou quais dados ou quando.

“O atacante não invadiu a M&S. Ele ligou para o suporte técnico e pediu para entrar. Isso não é um problema de conscientização de segurança. É um problema arquitetural.”

Onde o controle de credenciais se aplica

Os pontos de entrada de credenciais no varejo que a MyCena fecha

A MyCena governa a camada de autenticação em todos os sistemas varejistas. O ponto de entrada específico em todas as violações do varejo britânico de 2025 — uma redefinição de credencial via suporte técnico — é fechado quando nenhuma credencial existe em forma visível para humanos. Não há nada para o suporte técnico redefinir que dê ao atacante acesso.

MyCena governa
Acesso de fornecedores terceirizados de TI
Funcionários de MSP e suporte técnico com capacidade de redefinição de credenciais em sistemas varejistas
✓ Ponto de entrada do suporte técnico M&S/TCS — fechado estruturalmente
O varejista gera todas as credenciais centralmente. O provedor terceirizado de TI nunca detém credenciais que pode redefinir ou entregar a um atacante. Quando um impostor liga para o suporte técnico, não há credencial para redefinir que conceda acesso — porque a credencial é invisível, gerada pelo varejista e injetada na autenticação. O vetor de ataque ao suporte técnico da TCS é fechado arquiteturalmente, não procedimentalmente.
MyCena governa
Acesso de funcionários sazonais e permanentes
Funcionários de loja, operadores de armazém, funcionários da sede em todos os sistemas varejistas
✓ Credencial dormante e lacuna de desligamento — fechados estruturalmente
Cada funcionário se autentica por meio de credenciais geradas centralmente. Quando a temporada de Natal termina, todo o acesso dos funcionários sazonais é revogado em segundos — em todos os sistemas simultaneamente — com um único comando e um registro com data e hora. Sem lista de desligamento manual. Sem sistema esquecido. Sem credencial dormante deixada ativa para um atacante encontrar meses depois.
MyCena governa
Sistemas EPOS, de pagamento e fidelidade
Operadores de caixa, administradores de sistemas de pagamento, gestores de plataformas de fidelidade
✓ Responsabilidade individual PCI DSS — satisfeita arquiteturalmente
Cada operador de caixa e usuário de sistema de pagamento tem credenciais geradas individualmente. Sem logins compartilhados. Cada evento de acesso a ambientes de dados de titulares de cartão é atribuído a um indivíduo nomeado com um carimbo de data/hora preciso — satisfazendo o Requisito 8 do PCI DSS v4.0 arquiteturalmente, e não por meio de atestado de política. O registro de auditoria é gerado continuamente como subproduto da operação normal.
MyCena governa
Parceiros omnicanal e da cadeia de fornecimento
Provedores de logística, parceiros de fulfillment, integrações de marketplace, plataformas terceirizadas
✓ Acesso por credenciais de fornecedores terceirizados — governado pelo lado do varejista
Todo parceiro terceirizado acessa os sistemas varejistas por meio de credenciais que o varejista gerou e controla. Quando um relacionamento termina ou um incidente é detectado, todo o acesso é revogado em segundos em todos os sistemas conectados. Os 60% das violações no varejo que entram por fornecedores terceirizados são fechados quando o varejista possui todas as credenciais que alcançam seus sistemas — não o fornecedor.
O que a MyCena entrega

A solução estrutural que o NCSC recomendou a todos os varejistas

Após os ataques ao varejo em 2025, o NCSC orientou todas as organizações a revisarem seus processos de redefinição de senha no suporte técnico de TI. A MyCena é a resposta arquitetural a essa revisão — removendo o mecanismo em vez de adicionar um procedimento.

Redefinição pelo suporte técnico não produz nada — o ponto de entrada da M&S fechado
Quando as credenciais são geradas centralmente e injetadas de forma invisível na autenticação, uma redefinição de credencial pelo suporte técnico produz uma credencial que não dá nada ao atacante — porque a credencial real é governada pelo sistema do varejista, não pelo suporte técnico. O ataque de engenharia social que manteve a M&S offline por seis semanas não encontra mecanismo para explorar.
Revogação de funcionários sazonais em segundos — não em semanas
Todo o acesso de funcionários sazonais revogado em segundos com um único comando — em todos os sistemas, todas as plataformas, todas as integrações simultaneamente. Um registro com data e hora produzido automaticamente. Sem processo manual em 40 sistemas. Sem credencial esquecida deixada ativa. O caminho de acesso dormante que os atacantes exploram meses após a saída não existe.
Responsabilidade individual PCI DSS v4.0 — arquitetural
Cada evento de acesso a ambientes de dados de titulares de cartão é atribuído a um indivíduo nomeado, com registro de horário até o segundo, e registrado continuamente. O Requisito 8 do PCI DSS v4.0 — autenticação individual, sem credenciais compartilhadas, rastro completo de auditoria — satisfeito arquiteturalmente. A avaliação PCI recebe o registro, não um documento de política reunido antes da auditoria.
Seguro cibernético — evidências para negociação de prêmio
A M&S não tinha seguro cibernético. A perda de £300M veio inteiramente das próprias contas da empresa. Os varejistas britânicos agora enfrentam aumentos de prêmio de até 10% à medida que as seguradoras reavaliaram o setor varejista após 2025. A governança estrutural de credenciais — com registros contínuos de acesso e revogação instantânea demonstrada — fornece as evidências de subscrição que suportam a negociação na renovação. A M&S tinha a questão da cobertura de seguro como pauta durante sua recuperação; essa questão está sendo feita a todos os grandes varejistas agora.
£440M
perdas combinadas em três varejistas em dez dias — um método de ataque, um ponto de entrada
Cada libra dessa perda rastreia-se a uma credencial que foi entregue por um suporte técnico. Não roubada por meio de um exploit técnico. Não obtida por um sofisticado zero-day. Pedida — e entregue — porque a credencial existia nas mãos de um humano e um humano podia ser enganado para fornecê-la.
O que o presidente disse
O presidente da M&S, Archie Norman, disse à Subcomissão de Negócios e Comércio do Parlamento britânico: a entrada foi “o que as pessoas agora chamam de engenharia social — um eufemismo para personificação.” Ele confirmou que o atacante ligou para o suporte técnico terceirizado, se passou por um funcionário e obteve uma redefinição de credencial. Um varejista informado sobre essa constatação que adia a ação sobre governança de credenciais documentou sua ciência de uma lacuna arquitetural conhecida. A avaliação pós-violação do ICO perguntará se a medida estrutural disponível foi tomada.
Como funciona

Governança de credenciais sem interromper as operações do varejo

Nenhum sistema EPOS modificado. Nenhuma infraestrutura de pagamento alterada. Nenhuma plataforma de fidelidade interrompida. Os funcionários percebem uma diferença: clicam para conectar em vez de digitar uma senha.

Passo 01
O varejista gera todas as credenciais centralmente
Cada credencial para cada sistema — funcionários, provedor terceirizado de TI, parceiro logístico, plataforma de pagamento — é gerada pelo varejista por meio da MyCena. Nenhum indivíduo cria seu próprio acesso. Nenhum provedor traz credenciais para a rede do varejista. A propriedade das credenciais é do varejista desde o momento de criação.
Passo 02
Injeção invisível — nada para o suporte técnico entregar
Os funcionários clicam para se conectar a qualquer sistema — caixa, gestão de estoque, plataforma de fidelidade, back-end de e-commerce. A MyCena injeta a credencial na autenticação. Nada é exibido, digitado ou mantido na memória. Quando um atacante liga para o suporte técnico se passando por um funcionário, não há credencial que o suporte possa redefinir e que dê ao atacante acesso ao que a MyCena governa.
Passo 03
Registro contínuo de acesso — evidências para LGPD/GDPR e PCI geradas automaticamente
Cada evento de acesso é registrado — qual funcionário, qual sistema, horário até o segundo. As evidências de medidas técnicas do LGPD/GDPR e o rastro de auditoria do PCI DSS são gerados continuamente. Os reguladores recebem o registro, não um documento reunido sob pressão de exame.
Passo 04
Revogação instantânea — funcionários sazonais, parceiros, todos os sistemas
Fim da temporada de Natal: um comando, todo o acesso dos funcionários sazonais revogado em todos os sistemas em segundos, registro com data e hora produzido. Fim de um relacionamento com terceiro: mesmo comando, mesma velocidade. Incidente suspeito detectado: revogação imediata antes do movimento lateral. Sem processo manual. Sem sistema esquecido. Sem credencial dormante.
Marco regulatório

LGPD/GDPR, PCI DSS, NIS2 e seguro cibernético — todos exigem o que a MyCena entrega

Cada marco de controle de acesso no varejo exige evidências demonstráveis de responsabilidade individual e governança de terceiros. A MyCena gera essas evidências continuamente.

LGPD/GDPR — Medidas técnicas do Artigo 32
✓ Medidas técnicas arquiteturais — estrutural
O Artigo 32 do GDPR exige medidas técnicas e organizacionais adequadas para garantir segurança proporcional ao risco. A avaliação do ICO após as violações no varejo em 2025 se concentrará em se medidas estruturais de controle de acesso foram tomadas. A arquitetura de geração central, injeção invisível e revogação instantânea da MyCena é a medida técnica que o Artigo 32 exige — não controles procedimentais que demonstravelmente falham sob engenharia social.
PCI DSS v4.0 — Requisito 8
✓ Atribuição individual — satisfeita arquiteturalmente
O Requisito 8 do PCI DSS v4.0 exige autenticação única para todos os acessos a ambientes de dados de titulares de cartão, responsabilidade individual para cada evento de acesso e eliminação de credenciais compartilhadas em sistemas de pagamento. A MyCena satisfaz os três arquiteturalmente. A avaliação PCI recebe um registro contínuo de acesso, não uma afirmação de política reunida antes da auditoria.
NIS2 — Artigos 20 & 21
✓ Governança da cadeia de fornecimento — satisfeita estruturalmente
Varejistas classificados como entidades essenciais ou importantes pela NIS2 enfrentam responsabilidade pessoal da gestão por falhas na governança de riscos de TIC e devem demonstrar segurança na cadeia de fornecimento, incluindo governança de credenciais de terceiros. A violação da M&S — credencial de provedor terceirizado de TI — é o cenário para o qual o Artigo 21 da NIS2 foi escrito. Gestores informados sobre esse padrão que não agem estão dentro do escopo de responsabilidade pessoal do Artigo 20 da NIS2.
Fiscalização do ICO — foco no varejo pós-2025
✓ Medidas demonstráveis — evidências contínuas
O ICO está avaliando as violações no varejo de 2025 quanto à conformidade com o GDPR. A questão central é se os varejistas tomaram as medidas técnicas disponíveis para impedir o acesso baseado em credenciais. A governança estrutural de credenciais — não treinamento de conscientização, não controles procedimentais de suporte técnico — é a medida técnica que o ICO espera de organizações do porte e maturidade digital da M&S.
Cyber Essentials Plus
✓ Requisitos de controle de acesso — estrutural
O Cyber Essentials Plus exige verificação de controle de acesso, governança de contas de usuários e segurança de autenticação. Varejistas que fornecem para contratos governamentais ou compras do setor público devem ter a certificação CE Plus. A MyCena satisfaz os requisitos técnicos de controle de acesso arquiteturalmente — não por meio de autoatestação de que controles procedimentais estão em vigor.
Seguro cibernético — subscrição no varejo pós-2025
✓ Maturidade nível 4–5 — evidências de prêmio
Os varejistas britânicos enfrentam aumentos de prêmio de seguro cibernético de até 10% após a onda de violações no varejo em 2025. A M&S não tinha seguro cibernético — a perda de £300M não foi segurada. As seguradoras estão agora avaliando explicitamente a verificação de identidade no suporte técnico, a governança de acesso de terceiros e o controle de credenciais como fatores de classificação. A MyCena fornece as evidências estruturais que suportam a negociação de prêmios e demonstram o padrão de governança que as seguradoras estão exigindo.
Briefing de credenciais para o varejo
Um briefing de 45 minutos sobre controle de credenciais para o varejo — específico para o seu panorama de provedores de TI, perfil de rotatividade de funcionários e obrigações regulatórias.
Agendar um briefing para o varejo →
MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.