Nach Angaben von Carnival identifizierte das IT-Sicherheitsteam des Unternehmens am 14. April 2026 unbefugte Aktivitäten im Zusammenhang mit dem Konto eines Mitarbeiters. „Ein unbefugter Akteur nutzte Social Engineering, um einen Mitarbeiter zu täuschen und sich Zugang zu einem begrenzten Teil des IT-Systems des Unternehmens zu verschaffen", heißt es in den Benachrichtigungsschreiben an die Betroffenen.
Das Unternehmen erklärte, es habe die unbefugte Aktivität rasch blockiert und umgehend externe Sicherheitsexperten hinzugezogen. Am 22. April 2026 stellte Carnival demnach erstmals fest, dass der Angreifer personenbezogene Daten unrechtmäßig kopiert hatte.
Carnival hat den Angriff bislang nicht zugeordnet. Die Gruppe ShinyHunters bekannte sich jedoch im April zu dem Einbruch und gab an, Dokumente mit über 8,7 Millionen Datensätzen mit personenbezogenen Informationen sowie mehrere Terabyte interner Unternehmensdaten erbeutet zu haben.
Ein Sprecher von Carnival reagierte nicht auf eine Anfrage von BleepingComputer zur Bestätigung dieser Angaben und zu Einzelheiten der gestohlenen Daten. Der Datenleck-Dienst Have I Been Pwned analysierte die von der Erpressergruppe veröffentlichten Daten und kam zu dem Ergebnis, dass Namen, Geburtsdaten, E-Mail-Adressen, Geschlechtsangaben, geografische Standorte und Details zu Treueprogrammen offengelegt wurden.
„Die Daten enthielten Felder, die auf das von Holland America betriebene Treueprogramm Mariner Society hindeuteten – eine Kreuzfahrtmarke von Carnival –, darunter Namen, Geburtsdaten, Geschlechtsangaben und Daten zum Status innerhalb des Treueprogramms", erläuterte Have I Been Pwned.
Im vergangenen Jahr hatte ShinyHunters gezielt Salesforce-Kunden ins Visier genommen und nach eigenen Angaben Hunderte Unternehmen weltweit angegriffen. Die Gruppe behauptet, im Rahmen der Salesloft-Drift-Kampagne und der Salesforce-Aura-Angriffe Milliarden von Datensätzen gestohlen zu haben.
Das FBI riet Opfern von ShinyHunters vor zwei Wochen davon ab, auf Lösegeldforderungen einzugehen. Zuvor hatte die Behörde gewarnt, dass eine Zahlung nicht garantiere, dass die Täter nicht erneut Erpressungsversuche unternähmen oder die gestohlenen Daten an andere Kriminelle verkauften.
Es ist nicht der erste Vorfall dieser Art beim Konzern: Carnival meldete bereits im März 2020 und im Juni 2021 Datenlecks, bei denen persönliche und finanzielle Informationen von Kunden, Beschäftigten und Crewmitgliedern offengelegt wurden, nachdem Angreifer Zugriff auf E-Mail-Konten von Carnival-Mitarbeitern erlangt hatten. Zudem entwendeten Ransomware-Gruppen nach Einbrüchen im August und Dezember 2020 personenbezogene Daten von Kunden und Mitarbeitern.
