Carnival Corporation confirme une fuite de données en avril : près de 6 millions de clients exposés

Carnival Corporation, le plus grand opérateur de croisières au monde, a confirmé qu'une attaque par ingénierie sociale en avril a exposé les données personnelles de près de 6 millions de clients. L'entreprise a commencé à envoyer des lettres de notification cette semaine à 5 995 277 personnes concernées — un chiffre issu de la divulgation obligatoire faite au bureau du procureur général du Maine.

L'attaque a eu lieu le 10 avril 2026, lorsqu'un attaquant a utilisé des techniques d'ingénierie sociale pour tromper un employé et obtenir l'accès à une partie des systèmes informatiques de l'entreprise. L'équipe de sécurité de Carnival a détecté l'activité non autorisée quatre jours plus tard, le 14 avril. L'entreprise a confirmé le 22 avril que des données avaient été exfiltrées.

Ce qui a été dérobé

Carnival n'a pas entièrement précisé les catégories de données concernées dans ses lettres de notification, les décrivant simplement comme des informations personnelles. Cependant, le service d'analyse des notifications de fuites Have I Been Pwned a examiné les données divulguées par ShinyHunters — le groupe de cybercriminels qui a revendiqué l'attaque en avril — et a constaté que les enregistrements exposés contiennent des noms, dates de naissance, adresses e-mail, sexes et localisations géographiques. Les données incluent également des informations du programme de fidélité liées au programme Mariner Society exploité par Holland America Line, l'une des neuf marques de croisière de Carnival.

ShinyHunters a affirmé en avril avoir dérobé 8,7 millions d'enregistrements et des téraoctets de données internes d'entreprise. L'écart entre les 8,7 millions d'enregistrements revendiqués et les 5,99 millions notifiés par Carnival pourrait s'expliquer par le fait que tous les enregistrements exfiltrés ne contenaient pas suffisamment d'informations d'identification pour nécessiter une notification individuelle, ou que certains appartenaient à des employés ou membres d'équipage plutôt qu'à des clients.

La campagne croissante de ShinyHunters

ShinyHunters est un groupe d'extorsion prolifique qui cible les organisations d'entreprise à grande échelle. Au cours de l'année écoulée, le groupe a revendiqué des fuites chez des centaines d'entreprises via des attaques contre des clients Salesforce, exécutant ce que les chercheurs ont décrit comme la « campagne Salesloft Drift » et les « attaques de vol de données Salesforce Aura ». L'approche typique du groupe consiste à exiger une rançon pour ne pas publier les données volées ; si les victimes ne paient pas, les données sont mises en vente sur des marchés criminels.

Le FBI a émis un avis public à la mi-mai 2026 conseillant spécifiquement aux victimes de ShinyHunters de ne pas payer les demandes de rançon, notant que le paiement ne garantit pas que les données ne seront pas vendues à d'autres acteurs criminels ou utilisées dans de futures tentatives d'extorsion. Il n'est pas confirmé si Carnival a reçu une demande de rançon ou si un paiement a été effectué.

Une entreprise aux antécédents

Il s'agit au moins de la quatrième fuite de données publiquement confirmée pour Carnival depuis 2020. En mars 2020, des attaquants ont accédé à des comptes e-mail d'employés contenant des informations personnelles de clients et d'équipage. En août 2020, une attaque par ransomware a compromis les données des clients et des employés. Un deuxième incident de ransomware en décembre 2020 a provoqué une nouvelle exposition. En juin 2021, un autre compromis de compte e-mail a conduit à une notification de fuite.

La récurrence soulève des questions sur la posture de sécurité de l'entreprise. Carnival exploite une flotte de plus de 90 navires, emploie plus de 160 000 personnes et a déclaré 26 milliards de dollars de revenus l'année dernière. L'entreprise sert environ 13,5 millions de passagers par an à travers des marques telles que Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA et Seabourn. L'échelle des opérations — et le volume de données clients qu'elle détient — en font une cible de choix pour les acteurs malveillants motivés financièrement.

L'ingénierie sociale comme vecteur d'attaque initial est cohérente avec une tendance plus large dans les fuites d'entreprise. Plutôt que d'exploiter des vulnérabilités logicielles, les attaquants manipulent les employés pour obtenir un accès — une technique efficace car elle contourne les contrôles techniques et exploite le jugement humain sous pression. La fuite de Carnival du 10 avril suit un schéma observé lors de fuites majeures chez MGM Resorts, Caesars Entertainment et Uber, qui ont toutes commencé par des attaques d'ingénierie sociale contre le personnel du helpdesk ou informatique.

Que doivent faire les clients concernés

Les clients qui reçoivent une notification de fuite de Carnival doivent la considérer comme authentique — le dépôt auprès du procureur général du Maine confirme l'ampleur et la légitimité de la notification. Les données exposées (nom, e-mail, date de naissance, sexe, localisation, statut du programme de fidélité) sont précieuses pour les attaques de phishing ciblées et la fraude à la vérification d'identité. Les personnes concernées doivent être vigilantes face à tout contact non sollicité se présentant comme venant de Carnival ou de ses marques, en particulier les demandes de cliquer sur des liens, de vérifier les détails du compte ou de se connecter par e-mail.

Les mots de passe des comptes du programme de fidélité doivent être changés, et tout mot de passe réutilisé sur d'autres services doit être mis à jour immédiatement. L'authentification à deux facteurs doit être activée sur tous les comptes des marques Carnival où elle est disponible. Have I Been Pwned a indexé la fuite, donc les clients peuvent vérifier si leur adresse e-mail apparaît dans les données divulguées sur haveibeenpwned.com.