Nach Darstellung von Carnival drangen die Angreifer im vergangenen Monat über ein kompromittiertes Mitarbeiterkonto in einen begrenzten Teil der IT-Umgebung ein. Bis Ende April habe das Unternehmen festgestellt, dass dabei persönliche Daten kopiert worden seien. „Wir haben schnell gehandelt, um die unbefugte Aktivität zu unterbinden, und sofort mit externen Sicherheitsexperten zusammengearbeitet, um unsere Sicherheit weiter zu stärken und eine gründliche Untersuchung durchzuführen“, erklärte Carnival.
Welche Angaben im Einzelfall betroffen sind, variiert. Das Unternehmen nennt Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten sowie Führerschein- und Passnummern. Eine offizielle Opferzahl legte Carnival nicht vor; aus einer Meldung an die Generalstaatsanwaltschaft von Maine geht jedoch hervor, dass nahezu 6 Millionen Personen betroffen sein könnten.
ShinyHunters hatte bereits im April erklärt, eine große Menge an Carnival-Daten erbeutet zu haben, und versuchte das Unternehmen zu erpressen, um eine Veröffentlichung zu verhindern. Schließlich stellte die Gruppe nach eigenen Angaben 8,7 Millionen Datensätze auf ihrer Leak-Seite online, darunter Daten, die angeblich mit dem Treueprogramm Mariner Society der Carnival-Marke Holland America Line verbunden sind.
Carnival hatte damals einen Phishing-Vorfall im Zusammenhang mit einem einzelnen Nutzerkonto eingeräumt und mitgeteilt, das Ausmaß der unbefugten Aktivität werde untersucht. Eine öffentliche Zuordnung des Angriffs zu ShinyHunters nahm das Unternehmen nicht vor. Die Verzögerung von einem Monat bis zur öffentlichen Bestätigung begründete Carnival am Mittwoch damit, dass komplexe Vorfälle Zeit und sorgfältige Untersuchung erforderten, um zu klären, welche Informationen betroffen seien und wem sie gehörten, und um die Benachrichtigungen korrekt abzuwickeln.
ShinyHunters ist für aufsehenerregende Datendiebstähle und Erpressungskampagnen gegen große Organisationen bekannt. Anfang dieses Jahres warnte das FBI, dass mit der Gruppe in Verbindung stehende Angreifer nach dem Diebstahl von Daten über kompromittierte Salesforce-Umgebungen erhebliche Lösegeldzahlungen von Unternehmen forderten. Zuletzt reklamierte die Gruppe zudem einen Angriff auf das Analyseunternehmen Mixpanel für sich.
Für Carnival ist es nicht der erste derartige Vorfall: 2019 legte der Konzern ein Datenleck offen, das über kompromittierte E-Mail-Konten von Mitarbeitern Informationen von rund 180.000 Kunden und Beschäftigten betraf. Regulierungsbehörden verhängten später eine Geldstrafe von 1,25 Millionen US-Dollar wegen des Umgangs mit dem Vorfall. 2021 meldete das Unternehmen einen weiteren Vorfall mit unbefugtem Zugriff auf eine begrenzte Zahl von E-Mail-Konten.
