IRCNF
Security

Carnival Corporation confirma violação de dados em abril que expôs dados pessoais de quase 6 milhões de clientes

BleepingComputer
Compartilhar:
Carnival Corporation confirma violação de dados em abril que expôs dados pessoais de quase 6 milhões de clientes

A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou que um ataque de engenharia social em abril expôs os dados pessoais de quase 6 milhões de clientes. A empresa começou a enviar cartas de notificação de violação nesta semana para 5.995.277 indivíduos afetados — número extraído da divulgação obrigatória da empresa ao gabinete do procurador-geral do Maine.

A violação ocorreu em 10 de abril de 2026, quando um atacante usou técnicas de engenharia social para enganar um funcionário e obter acesso a uma parte dos sistemas de TI da empresa. A equipe de segurança da Carnival detectou a atividade não autorizada quatro dias depois, em 14 de abril. A empresa confirmou em 22 de abril que dados haviam sido exfiltrados.

O que foi roubado

A Carnival não especificou totalmente as categorias de dados afetadas em suas cartas de notificação, limitando-se a descrevê-los como informações pessoais. No entanto, o serviço de análise de notificações de violação Have I Been Pwned revisou dados vazados pelo ShinyHunters — o grupo cibercriminoso que reivindicou a autoria do ataque em abril — e descobriu que os registros expostos contêm nomes, datas de nascimento, endereços de e-mail, gêneros e localizações geográficas. Os dados também incluem informações de programas de fidelidade, especificamente relacionados ao programa Mariner Society, operado pela Holland America Line, uma das nove marcas de cruzeiros da Carnival.

O ShinyHunters afirmou em abril ter roubado 8,7 milhões de registros e terabytes de dados corporativos internos. A discrepância entre os 8,7 milhões de registros reivindicados e os 5,99 milhões notificados pela Carnival pode refletir que nem todos os registros exfiltrados continham informações de identificação suficientes para exigir notificação individual, ou que alguns registros pertenciam a funcionários ou tripulantes, e não a clientes.

A campanha crescente do ShinyHunters

O ShinyHunters é um grupo de extorsão prolífico que tem mirado organizações empresariais em larga escala. No último ano, o grupo reivindicou violações em centenas de empresas por meio de ataques a clientes do Salesforce, executando o que pesquisadores descreveram como a "campanha Salesloft Drift" e os "ataques de roubo de dados Salesforce Aura". A abordagem típica do grupo é exigir um resgate para não publicar os dados roubados; se as vítimas não pagarem, os dados são listados em mercados criminosos.

O FBI emitiu um comunicado público em meados de maio de 2026 recomendando especificamente que as vítimas do ShinyHunters não pagassem as exigências de resgate, observando que o pagamento não garante que os dados não serão vendidos a outros criminosos ou usados em futuras tentativas de extorsão. Não foi confirmado se a Carnival recebeu uma exigência de resgate ou se algum pagamento foi feito.

Uma empresa com histórico

Esta é, no mínimo, a quarta violação de dados publicamente confirmada da Carnival desde 2020. Em março de 2020, atacantes acessaram contas de e-mail de funcionários contendo informações pessoais de clientes e tripulantes. Em agosto de 2020, um ataque de ransomware comprometeu dados de clientes e funcionários. Um segundo incidente de ransomware em dezembro de 2020 causou mais exposição. Em junho de 2021, outro comprometimento de conta de e-mail levou a uma notificação de violação.

A recorrência levanta questões sobre a postura de segurança da empresa. A Carnival opera uma frota de mais de 90 navios, emprega mais de 160 mil pessoas e registrou receita de US$ 26 bilhões no ano passado. A empresa atende aproximadamente 13,5 milhões de hóspedes anualmente em marcas como Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA e Seabourn. A escala da operação — e o volume de dados de hóspedes que ela armazena — a torna um alvo de alto valor para atores de ameaças financeiramente motivados.

A engenharia social como vetor inicial de ataque é consistente com uma tendência mais ampla em violações empresariais. Em vez de explorar vulnerabilidades de software, os atacantes manipulam funcionários para obter acesso — uma técnica eficaz porque contorna controles técnicos e explora o julgamento humano sob pressão. A violação da Carnival em 10 de abril segue um padrão observado em grandes violações na MGM Resorts, Caesars Entertainment e Uber, todas começando com ataques de engenharia social contra equipes de helpdesk ou TI.

O que os clientes afetados devem fazer

Os clientes que receberem uma notificação de violação da Carnival devem tratá-la como uma carta legítima — o registro no gabinete do procurador-geral do Maine confirma a escala e a legitimidade da notificação. Os dados expostos (nome, e-mail, data de nascimento, gênero, localização e status do programa de fidelidade) são valiosos para ataques de phishing direcionados e fraudes de verificação de identidade. Os indivíduos afetados devem ficar alertas para contatos não solicitados que afirmem ser da Carnival ou de suas marcas, especialmente solicitações para clicar em links, verificar detalhes da conta ou fazer login por e-mail.

As senhas das contas do programa de fidelidade devem ser alteradas, e quaisquer senhas reutilizadas em outros serviços devem ser atualizadas imediatamente. A autenticação de dois fatores deve ser ativada em todas as contas das marcas da Carnival onde estiver disponível. O Have I Been Pwned indexou a violação, então os clientes podem verificar se seu e-mail aparece nos dados vazados em haveibeenpwned.com.

cybersecuritydata-breachshinyhunterssocial-engineeringcarnival-cruise

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: