A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou uma violação de dados que afetou quase 6 milhões de pessoas e que foi reivindicada pelo grupo de extorsão ShinyHunters em abril de 2026.
A gigante do setor de cruzeiros tem mais de 160.000 funcionários e transportou cerca de 13,5 milhões de passageiros em 2024, com uma frota superior a 90 navios.
A Carnival opera nove das principais marcas de cruzeiros do mundo, entre elas Carnival Cruise Line, Costa, P&O Australia, P&O Cruises, Princess Cruises, Holland America Line, AIDA, Cunard e Seabourn, além da empresa de turismo Holland America Princess Alaska Tours.
No ano passado, a companhia registrou receita superior a US$ 26 bilhões.
Nesta quarta-feira, a empresa começou a notificar 5.995.277 clientes de que threat actors roubaram seus dados em uma invasão ocorrida em 10 de abril, após obterem acesso a parte de seus sistemas de TI em um ataque de social engineering.
“Em 14 de abril de 2026, a equipe de segurança de TI da empresa identificou atividade não autorizada envolvendo a conta de um funcionário.
Um ator não autorizado usou social engineering para enganar um funcionário e obter acesso a uma parte limitada do sistema de TI da empresa”, informou a companhia nas cartas de notificação enviadas às pessoas afetadas.
“A empresa agiu rapidamente para bloquear a atividade não autorizada e iniciou imediatamente o trabalho com especialistas de segurança terceirizados para reforçar ainda mais nossa proteção e conduzir uma investigação minuciosa.
Em 22 de abril de 2026, a empresa concluiu pela primeira vez que o ator malicioso copiou ilegalmente informações pessoais.”
Embora a Carnival ainda não tenha atribuído oficialmente o ataque a um grupo específico, o coletivo de cibercrime ShinyHunters assumiu a responsabilidade pela violação em abril.
Segundo o grupo, foram roubados documentos com mais de 8,7 milhões de registros contendo informações pessoais identificáveis e terabytes de dados corporativos internos.
Apesar de um porta-voz da Carnival não ter respondido ao contato para confirmar as alegações do ShinyHunters e detalhar quais dados foram roubados, o serviço Have I Been Pwned analisou os dados vazados pelo grupo de extorsão e afirmou que a violação expôs nomes, datas de nascimento, endereços de email, gênero, localização geográfica e detalhes do programa de fidelidade das pessoas afetadas.
“Os dados continham campos que indicavam relação com o programa de fidelidade Mariner Society, operado pela Holland America, uma marca de cruzeiros sob o guarda-chuva da Carnival, e incluíam nomes, datas de nascimento, gênero e informações sobre o status no programa de fidelidade”, observou o Have I Been Pwned.
Ao longo do último ano, o ShinyHunters tem mirado clientes da Salesforce e já comprometeu centenas de empresas em todo o mundo, alegando ter roubado bilhões de registros nas campanhas Salesloft Drift e nos ataques de roubo de dados do Salesforce Aura.
Há duas semanas, o FBI orientou as vítimas do ShinyHunters a não pagarem os pedidos de resgate dos atacantes.
A agência já havia alertado que isso não garante que os threat actors deixarão de tentar extorquir as vítimas novamente ou de vender os dados roubados para outros cibercriminosos.
A Carnival Corporation já havia divulgado outras violações de dados em março de 2020 e junho de 2021, que expuseram informações pessoais e financeiras de clientes, funcionários e tripulantes depois que threat actors acessaram contas de email de funcionários da empresa.
Grupos de ransomware também roubaram informações pessoais de clientes e funcionários da Carnival após invadirem os sistemas da companhia em agosto de 2020 e dezembro de 2020.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...