IRCNF
Security

Carnival Corporation confirma que violação de dados em abril expôs dados pessoais de quase 6 milhões de clientes

BleepingComputer
Compartilhar:
Carnival Corporation confirma que violação de dados em abril expôs dados pessoais de quase 6 milhões de clientes

A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou que um ataque de engenharia social em abril expôs os dados pessoais de quase 6 milhões de clientes. A empresa começou a enviar cartas de notificação de violação esta semana para 5.995.277 indivíduos afetados — número retirado da divulgação obrigatória da empresa ao gabinete da Procuradoria-Geral do Maine.

A violação ocorreu em 10 de abril de 2026, quando um atacante usou técnicas de engenharia social para enganar um funcionário e obter acesso a uma parte dos sistemas de TI da empresa. A equipe de segurança da Carnival detectou a atividade não autorizada quatro dias depois, em 14 de abril. A empresa confirmou em 22 de abril que os dados haviam sido exfiltrados.

O que foi roubado

A Carnival não especificou totalmente as categorias de dados afetadas em suas cartas de notificação, além de descrevê-las como informações pessoais. No entanto, o serviço de análise de notificações de violação Have I Been Pwned revisou os dados vazados pelo ShinyHunters — o grupo cibercriminoso que reivindicou a autoria do ataque em abril — e descobriu que os registros expostos contêm nomes, datas de nascimento, endereços de e-mail, gêneros e localizações geográficas. Os dados também incluem informações de programas de fidelidade especificamente relacionadas ao programa Mariner Society, operado pela Holland America Line, uma das nove marcas de cruzeiros da Carnival.

O ShinyHunters afirmou em abril que havia roubado 8,7 milhões de registros e terabytes de dados corporativos internos. A discrepância entre os 8,7 milhões de registros alegados e o número de notificações da Carnival de 5,99 milhões pode refletir que nem todos os registros exfiltrados continham informações de identificação suficientes para exigir notificação individual, ou que alguns registros pertenciam a funcionários ou tripulantes, e não a clientes.

Campanha crescente do ShinyHunters

O ShinyHunters é um grupo de extorsão prolífico que tem como alvo organizações empresariais em grande escala. No último ano, o grupo reivindicou violações em centenas de empresas por meio de ataques a clientes do Salesforce, executando o que pesquisadores descreveram como a 'campanha Salesloft Drift' e 'ataques de roubo de dados Salesforce Aura'. A abordagem típica do grupo é exigir um resgate para não publicar os dados roubados; se as vítimas não pagarem, os dados são listados em mercados criminosos.

O FBI emitiu um aviso público em meados de maio de 2026 especificamente aconselhando as vítimas do ShinyHunters a não pagar as exigências de resgate, observando que o pagamento não garante que os dados não serão vendidos a outros criminosos ou usados em futuras tentativas de extorsão. Não foi confirmado se a Carnival recebeu uma exigência de resgate ou se algum pagamento foi feito.

Uma empresa com padrão

Esta é pelo menos a quarta violação de dados publicamente confirmada pela Carnival desde 2020. Em março de 2020, atacantes acessaram contas de e-mail de funcionários contendo informações pessoais de clientes e tripulantes. Em agosto de 2020, um ataque de ransomware comprometeu dados de clientes e funcionários. Um segundo incidente de ransomware em dezembro de 2020 causou mais exposição. Em junho de 2021, outro comprometimento de conta de e-mail levou a uma notificação de violação.

A recorrência levanta questões sobre a postura de segurança da empresa. A Carnival opera uma frota de mais de 90 navios, emprega mais de 160.000 pessoas e relatou receita de US$ 26 bilhões no ano passado. A empresa atende aproximadamente 13,5 milhões de hóspedes anualmente em marcas como Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA e Seabourn. A escala da operação — e o volume de dados de hóspedes que detém — a torna um alvo de alto valor para atores mal-intencionados motivados financeiramente.

A engenharia social como vetor inicial de ataque é consistente com uma tendência mais ampla em violações empresariais. Em vez de explorar vulnerabilidades de software, os atacantes manipulam funcionários para conceder acesso — uma técnica eficaz porque contorna controles técnicos e explora o julgamento humano sob pressão. A violação da Carnival em 10 de abril segue um padrão observado em grandes violações na MGM Resorts, Caesars Entertainment e Uber, todas começando com ataques de engenharia social contra equipes de helpdesk ou TI.

O que os clientes afetados devem fazer

Clientes que receberem uma notificação de violação da Carnival devem tratá-la como uma carta real — o registro no gabinete do Procurador-Geral do Maine confirma a escala e a legitimidade da notificação. Os dados expostos (nome, e-mail, data de nascimento, gênero, localização, status do programa de fidelidade) são valiosos para ataques de phishing direcionados e fraudes de verificação de identidade. Indivíduos afetados devem ficar atentos a contatos não solicitados que se passam pela Carnival ou suas marcas, especialmente solicitações para clicar em links, verificar detalhes da conta ou fazer login via e-mail.

As senhas das contas do programa de fidelidade devem ser alteradas, e quaisquer senhas reutilizadas em outros serviços devem ser atualizadas imediatamente. A autenticação de dois fatores deve ser ativada em todas as contas de marcas da Carnival onde estiver disponível. O Have I Been Pwned indexou a violação, então os clientes podem verificar se seu e-mail aparece nos dados vazados em haveibeenpwned.com.

cybersecuritydata-breachshinyhunterssocial-engineeringcarnival-cruise

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: