Carnival Corporation: Datenleck im April legt persönliche Daten von knapp sechs Millionen Kunden offen

Carnival Corporation, der weltweit größte Kreuzfahrtbetreiber, hat bestätigt, dass ein Social-Engineering-Angriff im April die persönlichen Daten von fast sechs Millionen Kunden offengelegt hat. Das Unternehmen hat diese Woche begonnen, Benachrichtigungsschreiben an 5.995.277 betroffene Personen zu verschicken – eine Zahl, die aus der obligatorischen Meldung des Unternehmens an die Generalstaatsanwaltschaft von Maine stammt.

Der Vorfall ereignete sich am 10. April 2026, als ein Angreifer mithilfe von Social-Engineering-Techniken einen Mitarbeiter dazu brachte, Zugriff auf einen Teil der IT-Systeme des Unternehmens zu gewähren. Das Sicherheitsteam von Carnival entdeckte die unbefugte Aktivität vier Tage später, am 14. April. Am 22. April bestätigte das Unternehmen, dass Daten abgeflossen waren.

Umfang der gestohlenen Daten

Carnival hat in seinen Benachrichtigungsschreiben nicht genau angegeben, welche Datenkategorien betroffen sind, und sie lediglich als persönliche Informationen beschrieben. Der Dienst zur Analyse von Sicherheitsverletzungen Have I Been Pwned hat jedoch die von ShinyHunters – der Cyberkriminalitätsgruppe, die den Angriff im April für sich beanspruchte – durchgesickerten Daten überprüft und festgestellt, dass die offengelegten Datensätze Namen, Geburtsdaten, E-Mail-Adressen, Geschlechter und geografische Standorte enthalten. Die Daten umfassen auch Informationen zum Treueprogramm, insbesondere zum Mariner-Society-Programm der Holland America Line, einer der neun Kreuzfahrtmarken von Carnival.

ShinyHunters gab im April an, 8,7 Millionen Datensätze und Terabytes an internen Unternehmensdaten gestohlen zu haben. Die Diskrepanz zwischen den behaupteten 8,7 Millionen Datensätzen und der von Carnival gemeldeten Zahl von 5,99 Millionen könnte darauf zurückzuführen sein, dass nicht alle abgeflossenen Datensätze ausreichende identifizierende Informationen enthielten, um eine individuelle Benachrichtigung zu erfordern, oder dass einige Datensätze Angestellten oder Besatzungsmitgliedern und nicht Kunden zugeordnet waren.

Die Eskalationskampagne von ShinyHunters

ShinyHunters ist eine produktive Erpressungsgruppe, die in großem Umfang Unternehmensorganisationen angreift. Im vergangenen Jahr hat die Gruppe Hunderte von Sicherheitsverletzungen bei Unternehmen durch Angriffe auf Salesforce-Kunden gemeldet und dabei durchgeführt, was Forscher als 'Salesloft-Drift-Kampagne' und 'Salesforce-Aura-Datendiebstahl-Angriffe' bezeichnen. Der typische Ansatz der Gruppe besteht darin, ein Lösegeld zu fordern, um die gestohlenen Daten nicht zu veröffentlichen; wenn die Opfer nicht zahlen, werden die Daten auf kriminellen Marktplätzen gelistet.

Das FBI veröffentlichte Mitte Mai 2026 eine öffentliche Warnung, in der es den Opfern von ShinyHunters ausdrücklich riet, keine Lösegeldforderungen zu bezahlen, da eine Zahlung nicht garantiere, dass die Daten nicht an andere kriminelle Akteure verkauft oder für zukünftige Erpressungsversuche verwendet würden. Es ist nicht bestätigt, ob Carnival eine Lösegeldforderung erhalten hat oder ob eine Zahlung geleistet wurde.

Ein Unternehmen mit auffälligem Muster

Dies ist mindestens der vierte öffentlich bestätigte Datenvorfall bei Carnival seit 2020. Im März 2020 griffen Angreifer auf Mitarbeiter-E-Mail-Konten zu, die persönliche Daten von Kunden und Besatzungsmitgliedern enthielten. Im August 2020 kompromittierte ein Ransomware-Angriff Kunden- und Mitarbeiterdaten. Ein zweiter Ransomware-Vorfall im Dezember 2020 führte zu weiteren Offenlegungen. Im Juni 2021 führte ein weiterer Kompromittierung eines E-Mail-Kontos zu einer Sicherheitsmeldung.

Die Wiederholung wirft Fragen zur Sicherheitslage des Unternehmens auf. Carnival betreibt eine Flotte von über 90 Schiffen, beschäftigt über 160.000 Mitarbeiter und erzielte im vergangenen Jahr einen Umsatz von 26 Milliarden US-Dollar. Das Unternehmen bedient jährlich rund 13,5 Millionen Gäste unter Marken wie Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA und Seabourn. Die Größe des Betriebs – und das Volumen der gespeicherten Gästedaten – macht es zu einem lukrativen Ziel für finanziell motivierte Angreifer.

Social Engineering als anfänglicher Angriffsvektor entspricht einem breiteren Trend bei Unternehmensverletzungen. Anstatt Software-Schwachstellen auszunutzen, manipulieren Angreifer Mitarbeiter, um Zugriff zu gewähren – eine Technik, die wirksam ist, weil sie technische Kontrollen umgeht und das menschliche Urteilsvermögen unter Druck ausnutzt. Der Vorfall bei Carnival am 10. April folgt einem Muster, das auch bei großen Sicherheitsverletzungen bei MGM Resorts, Caesars Entertainment und Uber zu beobachten war, die alle mit Social-Engineering-Angriffen auf Helpdesk- oder IT-Mitarbeiter begannen.

Was betroffene Kunden tun sollten

Kunden, die eine Benachrichtigung von Carnival erhalten, sollten diese als echten Brief behandeln – die Meldung an die Generalstaatsanwaltschaft von Maine bestätigt Umfang und Legitimität der Benachrichtigung. Die offengelegten Daten (Name, E-Mail, Geburtsdatum, Geschlecht, Standort, Status im Treueprogramm) sind wertvoll für gezielte Phishing-Angriffe und Identitätsbetrug. Betroffene sollten bei unaufgeforderten Kontaktaufnahmen, die vorgeben, von Carnival oder seinen Marken zu stammen, wachsam sein, insbesondere bei Aufforderungen, auf Links zu klicken, Kontodaten zu überprüfen oder sich per E-Mail anzumelden.

Passwörter für Treueprogramm-Konten sollten geändert werden, und alle wiederverwendeten Passwörter für andere Dienste sollten sofort aktualisiert werden. Die Zwei-Faktor-Authentifizierung sollte bei allen Carnival-Marken-Konten aktiviert werden, sofern verfügbar. Have I Been Pwned hat den Vorfall indexiert, sodass Kunden auf haveibeenpwned.com überprüfen können, ob ihre E-Mail-Adresse in den durchgesickerten Daten enthalten ist.