HackerangriffeDatenschutzCyberkriminalität

Kreuzfahrtriese Carnival bestätigt Datenleck mit 6 Millionen Betroffenen

Von CyberDeutsch Redaktion
Kreuzfahrtriese Carnival bestätigt Datenleck mit 6 Millionen Betroffenen
Zusammenfassung

Der Kreuzfahrtkonzern Carnival bestätigte am Mittwoch einen Cyberangriff vom April, bei dem Hacker Daten von fast 6 Millionen Personen erbeuteten – darunter sensible Informationen wie Passnummer und Führerscheindaten. Die Hackgruppe ShinyHunters verschaffte sich Zugang durch ein kompromittiertes Mitarbeiterkonto und kopierte persönliche Daten wie Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten sowie Dokumente. Carnival, einer der weltgrößten Kreuzfahrtbetreiber mit Marken wie Princess Cruises und Cunard, bestätigte erst einen Monat nach der Entdeckung des Vorfalls die Öffentlichkeit. Dies ist bereits die dritte Datenpanne des Unternehmens in fünf Jahren, was auf erhebliche Sicherheitsmängel hindeutet. Für deutsche Nutzer und Unternehmen ist dieser Fall relevant, da viele Deutsche Kreuzfahrten buchen und deren Daten betroffen sein könnten. Die Vorfallbestätigung zeigt zudem die wachsende Bedrohung durch professionelle Hackgruppen wie ShinyHunters, die Datendiebstahl und Erpressung kombinieren – ein Muster, das zunehmend auch deutsche Unternehmen ins Visier nehmen. Die mangelnde Transparenz und wiederholte Sicherheitspannen sollten Behörden und Organisationen hierzulande zur Überprüfung eigener Cybersicherheitsstandards veranlassen.

Der Angriffsvektor war bemerkenswert simpel, aber effektiv: Hacker der Gruppe ShinyHunters kompromittierten ein Mitarbeiterkonto bei Carnival und erhielten dadurch Zugriff auf Teile der IT-Infrastruktur. Im April gelang es den Angreifern, sensible Kundendaten zu kopieren. Carnival reagierte nach eigenen Angaben schnell und blockierte die unbefugte Aktivität, engagierte externe Sicherheitsexperten und leitete eine umfassende Untersuchung ein.

Zunächst wollte die Hackergruppe ShinyHunters die Daten für Erpressungszwecke nutzen. Sie forderte Lösegeld, um die Veröffentlichung zu verhindern. Als Carnival nicht zahlte, veröffentlichte ShinyHunters letztendlich eigenen Aussagen zufolge 8,7 Millionen Datensätze auf ihrer Leak-Plattform. Besonders pikant: Ein Großteil der Daten bezieht sich auf das Mariner Society Loyalty-Programm der Holland America Line, eine Tochtergesellschaft von Carnival.

Die Verzögerung zwischen Entdeckung und öffentlicher Bestätigung – etwa einen Monat – wurde von Carnival mit der Komplexität des Vorfalles begründet. Das Unternehmen erklärte, dass solche Untersuchungen Zeit und sorgfältige Analyse erforderten, um betroffene Informationen und deren Eigentümer korrekt zu identifizieren.

Dies ist nicht das erste Sicherheitsdebakel für Carnival. 2019 meldete das Unternehmen bereits einen Datenverlust, der etwa 180.000 Kunden und Mitarbeiter betraf. Regulatoren verhängten eine Geldbuße von 1,25 Millionen Dollar. Ein weiteres Incident folgte 2021 mit unbefugtem Zugriff auf begrenzte E-Mail-Konten.

ShinyHunters ist für große, professionell durchgeführte Datendiebstähle und Erpressungskampagnen berüchtigt. Das FBI warnte bereits in diesem Jahr vor der Gruppe, nachdem sie Lösegeld von Unternehmen forderte, die über kompromittierte Salesforce-Umgebungen gehackt worden waren. Auch für den Breach beim Analyse-Unternehmen Mixpanel beanspruchte die Gruppe Verantwortung.

Für deutsche Passagiere und Nutzer der Carnival-Services bedeutet dieser Vorfall potenziellen Identitätsdiebstahl und Missbrauch sensibler Daten. Die betroffenen Personen sollten ihre Konten überwachen und gegebenenfalls ihre Banken informieren. Unternehmen, die mit ähnlichen Kundendatenbeständen arbeiten, sollten ihre Sicherheitsmaßnahmen überprüfen.

Ähnliche Artikel