De cruisemaatschappij Carnival heeft bevestigd dat er in april een datalek heeft plaatsgevonden waarbij persoonlijke gegevens van bijna 6 miljoen mensen zijn gestolen. De aanval werd opgeëist door de ShinyHunters-hackergroep. Volgens het bedrijf kregen de aanvallers toegang tot een beperkt deel van de IT-omgeving na het compromitteren van een medewerkersaccount.

In de loop van april concludeerde Carnival dat de aanvaller persoonlijke informatie had gekopieerd uit de systemen. De gestolen data verschilt per persoon, maar omvat onder andere namen, adressen, e-mailadressen, telefoonnummers, geboortedata, rijbewijsnummers en paspoortnummers. Hoewel Carnival niet exact heeft aangegeven hoeveel mensen getroffen zijn, blijkt uit een melding bij de procureur-generaal van Maine dat het om bijna 6 miljoen personen kan gaan.

Het bedrijf reageerde snel om de ongeautoriseerde activiteit te blokkeren en schakelde direct externe beveiligingsexperts in om de beveiliging te versterken en een grondig onderzoek uit te voeren, aldus een verklaring van Carnival. Carnival is een van de grootste cruisemaatschappijen ter wereld en bezit onder meer de merken Princess Cruises, Holland America Line, Cunard en Costa Cruises. Het bedrijf exploiteert wereldwijd meer dan 90 schepen en bedient jaarlijks miljoenen passagiers.

De ShinyHunters-groep claimde in april een grote hoeveelheid data van Carnival te hebben bemachtigd en probeerde het bedrijf af te persen om publicatie te voorkomen. Uiteindelijk publiceerde de groep naar eigen zeggen 8,7 miljoen records op een leksite, waaronder gegevens die zouden horen bij het Mariner Society loyaliteitsprogramma van Holland America Line, een merk van Carnival. Carnival erkende destijds een phishingincident waarbij een enkele gebruikersaccount betrokken was en gaf aan de omvang van de ongeautoriseerde toegang te onderzoeken. Het bedrijf heeft de aanval niet publiekelijk aan ShinyHunters toegeschreven.

Carnival gaf aan dat complexe incidenten als deze tijd en zorgvuldig onderzoek vergen om vast te stellen welke informatie is getroffen en van wie deze is, en om ervoor te zorgen dat meldingen correct worden afgehandeld. ShinyHunters staat bekend om grootschalige datadiefstal en afpersingscampagnes gericht op grote organisaties. Eerder dit jaar waarschuwde de FBI dat hackers gelinkt aan ShinyHunters aanzienlijke losgeldbetalingen eisten na datadiefstal via compromittering van Salesforce-omgevingen. De groep claimde recent ook een datalek bij analyticsbedrijf Mixpanel.

In 2019 maakte Carnival ook al een datalek bekend waarbij e-mailaccounts van medewerkers waren betrokken, met informatie van ongeveer 180.000 klanten en medewerkers. Regulators legden het bedrijf een boete van 1,25 miljoen dollar op vanwege de afhandeling van dat incident. In 2021 meldde Carnival een tweede datalek met ongeautoriseerde toegang tot een beperkt aantal e-mailaccounts.