Carnival erklärte, der Vorfall sei am 14. April erkannt worden. Zuvor hatten sich Angreifer mittels Social Engineering Zugriff auf das Konto eines Mitarbeiters verschafft und dieses genutzt, um auf bestimmte Systeme zuzugreifen und Dateien mit persönlichen Informationen zu exfiltrieren. In einer Mitteilung auf der Unternehmenswebsite heißt es, man habe eine „gründliche und zeitaufwendige Analyse" der betroffenen Dateien durchgeführt, um festzustellen, welche persönlichen Daten sie enthielten und wem diese zuzuordnen seien.

Welche Informationen im Einzelfall betroffen sind, variiert nach Angaben des Konzerns. Generell handelt es sich um Namen, Adressen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und staatlich ausgestellte Ausweisnummern. Gegenüber der Generalstaatsanwaltschaft von Maine teilte Carnival mit, dass 5.995.277 Personen betroffen sind und ihnen 24 Monate kostenlose Kreditüberwachung angeboten wird.

Weitere Einzelheiten zum Angriff nannte das Unternehmen nicht. Die Erpressergruppe ShinyHunters hatte sich jedoch zu dem Vorfall bekannt. Auf ihrer Leak-Seite gab die Gruppe an, 8,7 Millionen Datensätze aus den Systemen von Carnival gestohlen zu haben, und stellte die Daten Ende April öffentlich bereit.

Die Benachrichtigungsplattform HaveIBeenPwned, die den geleakten Datensatz auswertete, kam zu dem Ergebnis, dass etwa 7,5 Millionen Konten des Treueprogramms Mariner Society betroffen sein dürften. Dieses Programm wird von der zu Carnival gehörenden Marke Holland America betrieben. Zu den geleakten Daten zählten demnach Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, geografische Angaben sowie Details zum Treueprogramm.

SecurityWeek hat Carnival um weitere Informationen gebeten und will den Bericht bei einer Reaktion des Unternehmens aktualisieren.

Ensar Seker, CISO bei SOCRadar, ordnet den Fall aus Verteidigungsperspektive ein: Unternehmen sollten die Widerstandsfähigkeit gegen Social Engineering als zentrale Sicherheitsmaßnahme behandeln und nicht bloß als Sensibilisierungsübung. Dazu gehörten phishing-resistente Mehr-Faktor-Authentifizierung, strengere Identitätsprüfungen bei internen Anfragen, Richtlinien für bedingten Zugriff, die Trennung privilegierter Zugänge, kontinuierliche Verhaltensüberwachung sowie regelmäßige Red-Team-Simulationen, die gezielt auf menschlich ausgerichtete Angriffswege abzielen.

Carnival hat seit 2020 mehrere Datenschutzvorfälle offengelegt. Das Unternehmen wurde 2019 gehackt, fiel 2020 einem Ransomware-Angriff zum Opfer und wurde im März 2021 erneut angegriffen.