Carnival Corporation confirme qu'une fuite de données en avril a exposé les données personnelles de près de 6 millions de clients

Carnival Corporation, le plus grand opérateur de croisières au monde, a confirmé qu'une attaque d'ingénierie sociale en avril a exposé les données personnelles de près de 6 millions de clients. L'entreprise a commencé à envoyer cette semaine des lettres de notification à 5 995 277 personnes concernées — un chiffre tiré de la divulgation obligatoire de l'entreprise au bureau du procureur général du Maine.

La fuite s'est produite le 10 avril 2026, lorsqu'un attaquant a utilisé des techniques d'ingénierie sociale pour tromper un employé et obtenir l'accès à une partie des systèmes informatiques de l'entreprise. L'équipe de sécurité de Carnival a détecté l'activité non autorisée quatre jours plus tard, le 14 avril. L'entreprise a confirmé le 22 avril que des données avaient été exfiltrées.

Ce qui a été volé

Carnival n'a pas entièrement spécifié les catégories de données concernées dans ses lettres de notification, les décrivant simplement comme des informations personnelles. Cependant, le service d'analyse des notifications de fuites Have I Been Pwned a examiné les données divulguées par ShinyHunters — le groupe de cybercriminels qui a revendiqué l'attaque en avril — et a constaté que les enregistrements exposés contiennent des noms, dates de naissance, adresses email, sexes et localisations géographiques. Les données incluent également des informations sur le programme de fidélité spécifiquement liées au programme Mariner Society exploité par Holland America Line, l'une des neuf marques de croisières de Carnival.

ShinyHunters a affirmé en avril avoir volé 8,7 millions d'enregistrements et des téraoctets de données internes de l'entreprise. L'écart entre les 8,7 millions d'enregistrements revendiqués et le décompte de Carnival de 5,99 millions peut refléter que tous les enregistrements exfiltrés ne contenaient pas suffisamment d'informations d'identification pour nécessiter une notification individuelle, ou que certains enregistrements appartenaient à des employés ou à l'équipage plutôt qu'à des clients.

La campagne croissante de ShinyHunters

ShinyHunters est un groupe d'extorsion prolifique qui cible les organisations d'entreprise à grande échelle. Au cours de l'année écoulée, le groupe a revendiqué des fuites chez des centaines d'entreprises via des attaques contre des clients de Salesforce, exécutant ce que les chercheurs ont décrit comme la "campagne Salesloft Drift" et les "attaques de vol de données Salesforce Aura". L'approche typique du groupe est d'exiger une rançon pour ne pas publier les données volées ; si les victimes ne paient pas, les données sont mises en vente sur des places de marché criminelles.

Le FBI a émis un avis public à la mi-mai 2026 conseillant spécifiquement aux victimes de ShinyHunters de ne pas payer les demandes de rançon, notant que le paiement ne garantit pas que les données ne seront pas vendues à d'autres criminels ou utilisées dans de futures tentatives d'extorsion. On ne sait pas si Carnival a reçu une demande de rançon ou si un paiement a été effectué.

Une entreprise avec un schéma récurrent

Il s'agit au moins de la quatrième fuite de données publiquement confirmée par Carnival depuis 2020. En mars 2020, des attaquants ont accédé à des comptes email d'employés contenant des informations personnelles de clients et d'équipage. En août 2020, une attaque par ransomware a compromis les données des clients et des employés. Un deuxième incident de ransomware en décembre 2020 a causé une exposition supplémentaire. En juin 2021, une autre compromission de compte email a conduit à une notification de fuite.

La récurrence soulève des questions sur la posture de sécurité de l'entreprise. Carnival exploite une flotte de plus de 90 navires, emploie plus de 160 000 personnes et a déclaré 26 milliards de dollars de revenus l'année dernière. L'entreprise sert environ 13,5 millions de passagers par an à travers des marques incluant Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA et Seabourn. L'ampleur de l'opération — et le volume de données clients qu'elle détient — en fait une cible de choix pour les acteurs malveillants motivés financièrement.

L'ingénierie sociale comme vecteur d'attaque initial est cohérente avec une tendance plus large dans les fuites d'entreprise. Plutôt que d'exploiter des vulnérabilités logicielles, les attaquants manipulent les employés pour obtenir l'accès — une technique efficace car elle contourne les contrôles techniques et exploite le jugement humain sous pression. La fuite du 10 avril chez Carnival suit un schéma observé dans les grandes fuites chez MGM Resorts, Caesars Entertainment et Uber, toutes ayant commencé par des attaques d'ingénierie sociale contre le service d'assistance ou le personnel informatique.

Ce que les clients concernés doivent faire

Les clients qui reçoivent une notification de fuite de Carnival doivent la traiter comme une lettre authentique — le dépôt auprès du procureur général du Maine confirme l'ampleur et la légitimité de la notification. Les données exposées (nom, email, date de naissance, sexe, localisation, statut du programme de fidélité) sont précieuses pour des attaques de phishing ciblées et des fraudes de vérification d'identité. Les personnes concernées doivent être vigilantes face aux contacts non sollicités se faisant passer pour Carnival ou ses marques, en particulier les demandes de cliquer sur des liens, de vérifier les détails du compte ou de se connecter par email.

Les mots de passe des comptes de programmes de fidélité doivent être changés, et tout mot de passe réutilisé sur d'autres services doit être mis à jour immédiatement. L'authentification à deux facteurs doit être activée sur tous les comptes des marques Carnival où elle est disponible. Have I Been Pwned a indexé la fuite, donc les clients peuvent vérifier si leur email apparaît dans les données divulguées sur haveibeenpwned.com.