Carnival Corporation تؤكد أن اختراق بيانات أبريل عرّض معلومات شخصية لنحو 6 ملايين عميل

أكدت شركة Carnival Corporation، أكبر مشغل رحلات بحرية في العالم، أن هجوم هندسة اجتماعية في أبريل كشف بيانات شخصية لنحو 6 ملايين عميل. بدأت الشركة هذا الأسبوع إرسال رسائل إخطار الاختراق إلى 5,995,277 شخصًا متأثرًا — وهو رقم مستمد من الإفصاح الإلزامي للشركة لمكتب المدعي العام لولاية مين.

وقع الاختراق في 10 أبريل 2026، عندما استخدم مهاجم تقنيات هندسة اجتماعية لخداع موظف ومنحه صلاحية الوصول إلى جزء من أنظمة تكنولوجيا المعلومات للشركة. اكتشف فريق الأمن في Carnival النشاط غير المصرح به بعد أربعة أيام، في 14 أبريل. وأكدت الشركة في 22 أبريل أنه تم تسريب البيانات.

ما الذي سُرق؟

لم تحدد Carnival بشكل كامل فئات البيانات المتأثرة في رسائل الإخطار بخلاف وصفها بأنها معلومات شخصية. لكن خدمة تحليل إخطارات الاختراق Have I Been Pwned راجعت البيانات التي سربتها ShinyHunters — مجموعة الجرائم الإلكترونية التي أعلنت مسؤوليتها عن الهجوم في أبريل — ووجدت أن السجلات المكشوفة تحتوي على أسماء وتواريخ ميلاد وعناوين بريد إلكتروني وجنس ومواقع جغرافية. تتضمن البيانات أيضًا معلومات برنامج الولاء المرتبطة تحديدًا ببرنامج Mariner Society الذي تديره Holland America Line، إحدى علامات Carnival التسع للرحلات البحرية.

ادعت ShinyHunters في أبريل أنها سرقت 8.7 مليون سجل وعدة تيرابايت من البيانات الداخلية للشركة. قد يعكس التناقض بين الـ 8.7 مليون سجل المزعومة وعدد إخطارات Carnival البالغ 5.99 مليون أن السجلات المسربة لم تحتو كلها على معلومات تعريفية كافية تستدعي إخطارًا فرديًا، أو أن بعض السجلات تعود لموظفين أو طاقم وليس لعملاء.

حملة ShinyHunters المتصاعدة

ShinyHunters هي مجموعة ابتزاز نشطة تستهدف المؤسسات الكبيرة على نطاق واسع. على مدار العام الماضي، ادعت المجموعة اختراق مئات الشركات من خلال هجمات على عملاء Salesforce، منفذة ما وصفه الباحثون بـ "حملة Salesloft Drift" و"هجمات سرقة بيانات Salesforce Aura". نهج المجموعة النموذجي هو طلب فدية مقابل عدم نشر البيانات المسروقة؛ إذا لم يدفع الضحايا، تُدرج البيانات في الأسواق الإجرامية.

أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا عامًا في منتصف مايو 2026 نصح فيه ضحايا ShinyHunters بعدم دفع فدية، مشيرًا إلى أن الدفع لا يضمن عدم بيع البيانات لمجرمين آخرين أو استخدامها في محاولات ابتزاز مستقبلية. لم يُؤكد ما إذا كانت Carnival تلقت طلب فدية أو ما إذا تم أي دفع.

شركة ذات نمط متكرر

هذا على الأقل رابع اختراق بيانات مؤكد علنًا لـ Carnival منذ 2020. في مارس 2020، تمكن مهاجمون من الوصول إلى حسابات بريد إلكتروني للموظفين تحتوي على معلومات شخصية للعملاء والطاقم. في أغسطس 2020، تسبب هجوم فدية في اختراق بيانات العملاء والموظفين. أدت حادثة فدية ثانية في ديسمبر 2020 إلى تعرض إضافي. في يونيو 2021، أدى اختراق آخر لحساب بريد إلكتروني إلى إخطار بالاختراق.

يثير التكرار تساؤلات حول الوضع الأمني للشركة. تدير Carnival أسطولًا يضم أكثر من 90 سفينة، وتوظف أكثر من 160,000 شخص، وأعلنت عن إيرادات بلغت 26 مليار دولار العام الماضي. تخدم الشركة حوالي 13.5 مليون ضيف سنويًا عبر علامات تشمل Carnival Cruise Line وPrincess Cruises وHolland America Line وCosta وP&O Cruises وCunard وAIDA وSeabourn. حجم العمليات — وحجم بيانات الضيوف التي تحتفظ بها — يجعلها هدفًا قيمًا للمهاجمين بدافع مالي.

استخدام الهندسة الاجتماعية كناقل هجوم أولي يتوافق مع اتجاه أوسع في اختراقات المؤسسات. بدلاً من استغلال ثغرات البرمجيات، يتلاعب المهاجمون بالموظفين لمنحهم حق الوصول — وهي تقنية فعالة لأنها تتجاوز الضوابط التقنية وتستغل الحكم البشري تحت الضغط. يتبع اختراق Carnival في 10 أبريل نمطًا شوهد في اختراقات كبرى في MGM Resorts وCaesars Entertainment وUber، جميعها بدأت بهجمات هندسة اجتماعية ضد موظفي الدعم الفني أو تكنولوجيا المعلومات.

ما يجب على العملاء المتضررين فعله

يجب على العملاء الذين يتلقون إخطار اختراق من Carnival التعامل معه كرسالة حقيقية — تأكيد تقديم مكتب المدعي العام لمين يثبت حجم الإخطار وشرعيته. البيانات المكشوفة (الاسم، البريد الإلكتروني، تاريخ الميلاد، الجنس، الموقع، حالة برنامج الولاء) قيّمة لشن هجمات تصيد مستهدفة واحتيال التحقق من الهوية. يجب على الأفراد المتأثرين توخي الحذر من الاتصالات غير المرغوب فيها التي تدعي أنها من Carnival أو علاماتها التجارية، خاصة الطلبات للنقر على روابط أو التحقق من تفاصيل الحساب أو تسجيل الدخول عبر البريد الإلكتروني.

يجب تغيير كلمات مرور حسابات برامج الولاء، وتحديث أي كلمات مرور معاد استخدامها عبر خدمات أخرى فورًا. يجب تفعيل المصادقة الثنائية على أي حسابات لعلامات Carnival التجارية حيثما كانت متاحة. قامت Have I Been Pwned بفهرسة الاختراق، لذا يمكن للعملاء التحقق مما إذا كان بريدهم الإلكتروني يظهر في البيانات المسربة على الموقع haveibeenpwned.com.