Carnival Corporation bestätigt Datenleck im April: Fast 6 Millionen Kunden betroffen

Carnival Corporation, der weltweit größte Kreuzfahrtbetreiber, hat bestätigt, dass ein Social-Engineering-Angriff im April die personenbezogenen Daten von fast 6 Millionen Kunden offengelegt hat. Das Unternehmen begann diese Woche damit, 5.995.277 betroffene Personen zu benachrichtigen – eine Zahl, die aus der Pflichtmitteilung an die Generalstaatsanwaltschaft von Maine stammt.

Der Angriff ereignete sich am 10. April 2026, als ein Angreifer durch Social Engineering einen Mitarbeiter dazu brachte, Zugang zu einem Teil der IT-Systeme des Unternehmens zu gewähren. Das Sicherheitsteam von Carnival entdeckte die unbefugte Aktivität vier Tage später, am 14. April. Am 22. April bestätigte das Unternehmen, dass Daten abgeflossen waren.

Was gestohlen wurde

Carnival hat in seinen Benachrichtigungsschreiben nicht vollständig spezifiziert, welche Datenkategorien betroffen sind, und beschreibt sie lediglich als personenbezogene Informationen. Der Analyse-Dienst Have I Been Pwned hat jedoch die von ShinyHunters – der Hackergruppe, die sich im April zu dem Angriff bekannte – durchgesickerten Daten geprüft und festgestellt, dass die offengelegten Datensätze Namen, Geburtsdaten, E-Mail-Adressen, Geschlecht und geografische Standorte enthalten. Die Daten umfassen auch Informationen zum Treueprogramm, speziell zum Mariner Society Programm der Holland America Line, einer von neun Kreuzfahrtmarken von Carnival.

ShinyHunters behauptete im April, 8,7 Millionen Datensätze und Terabytes an internen Unternehmensdaten gestohlen zu haben. Die Diskrepanz zwischen den behaupteten 8,7 Millionen Datensätzen und Carnaivals Benachrichtigungszahl von 5,99 Millionen könnte darauf zurückzuführen sein, dass nicht alle gestohlenen Datensätze ausreichende Identifikationsinformationen enthielten, um eine individuelle Benachrichtigung zu erfordern, oder dass einige Datensätze Mitarbeitern oder Besatzungsmitgliedern statt Kunden gehörten.

ShinyHunters' eskalierende Kampagne

ShinyHunters ist eine produktive Erpressungsgruppe, die in großem Stil Unternehmensorganisationen ins Visier nimmt. Im vergangenen Jahr hat die Gruppe Hunderte von Unternehmen durch Angriffe auf Salesforce-Kunden kompromittiert und dabei ausgeführt, was Forscher als die »Salesloft Drift Campaign« und »Salesforce Aura Data Theft Attacks« beschrieben haben. Die übliche Vorgehensweise der Gruppe besteht darin, ein Lösegeld für die Nichtveröffentlichung der gestohlenen Daten zu fordern; wenn die Opfer nicht zahlen, werden die Daten auf kriminellen Marktplätzen gelistet.

Das FBI hat Mitte Mai 2026 einen öffentlichen Hinweis herausgegeben, in dem es den Opfern von ShinyHunters ausdrücklich davon abrät, Lösegeldforderungen zu zahlen, und darauf hinweist, dass die Zahlung nicht garantiert, dass die Daten nicht an andere Kriminelle verkauft oder für zukünftige Erpressungsversuche verwendet werden. Es ist nicht bestätigt, ob Carnival eine Lösegeldforderung erhalten hat oder ob eine Zahlung geleistet wurde.

Ein Unternehmen mit einem Muster

Dies ist mindestens der vierte öffentlich bestätigte Datenvorfall bei Carnival seit 2020. Im März 2020 griffen Angreifer auf Mitarbeiter-E-Mail-Konten zu, die persönliche Daten von Kunden und Besatzungsmitgliedern enthielten. Im August 2020 kompromittierte ein Ransomware-Angriff Kunden- und Mitarbeiterdaten. Ein zweiter Ransomware-Vorfall im Dezember 2020 führte zu weiteren Offenlegungen. Im Juni 2021 führte eine weitere Kompromittierung eines E-Mail-Kontos zu einer Benachrichtigung über eine Datenpanne.

Die Wiederholung wirft Fragen zur Sicherheitslage des Unternehmens auf. Carnival betreibt eine Flotte von über 90 Schiffen, beschäftigt über 160.000 Mitarbeiter und erzielte im vergangenen Jahr einen Umsatz von 26 Milliarden US-Dollar. Das Unternehmen bedient jährlich etwa 13,5 Millionen Gäste über Marken wie Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA und Seabourn. Die Größe des Betriebs – und die Menge der gespeicherten Gästedaten – machen das Unternehmen zu einem hochwertigen Ziel für finanziell motivierte Bedrohungsakteure.

Social Engineering als Angriffsvektor entspricht einem breiteren Trend bei Unternehmensangriffen. Anstatt Software-Schwachstellen auszunutzen, manipulieren Angreifer Mitarbeiter, um Zugang zu erhalten – eine Technik, die effektiv ist, weil sie technische Kontrollen umgeht und das menschliche Urteilsvermögen unter Druck ausnutzt. Der Angriff auf Carnival vom 10. April folgt einem Muster, das bei großen Vorfällen bei MGM Resorts, Caesars Entertainment und Uber zu beobachten war, die alle mit Social-Engineering-Angriffen auf Helpdesk- oder IT-Mitarbeiter begannen.

Was betroffene Kunden tun sollten

Kunden, die eine Benachrichtigung von Carnival erhalten, sollten diese als echten Brief behandeln – die Einreichung beim Attorney General von Maine bestätigt den Umfang und die Echtheit der Benachrichtigung. Die offengelegten Daten (Name, E-Mail, Geburtsdatum, Geschlecht, Standort, Treueprogramm-Status) sind wertvoll für gezielte Phishing-Angriffe und Identitätsbetrug. Betroffene sollten auf unaufgeforderte Kontaktaufnahmen achten, die vorgeben, von Carnival oder seinen Marken zu stammen, insbesondere auf Aufforderungen, Links zu klicken, Kontodaten zu überprüfen oder sich per E-Mail anzumelden.

Passwörter für Treueprogramm-Konten sollten geändert werden, und alle wiederverwendeten Passwörter für andere Dienste sollten sofort aktualisiert werden. Die Zwei-Faktor-Authentifizierung sollte für alle Carnival-Marken-Konten aktiviert werden, wo verfügbar. Have I Been Pwned hat den Vorfall indiziert, sodass Kunden auf haveibeenpwned.com überprüfen können, ob ihre E-Mail in den durchgesickerten Daten enthalten ist.