תאגיד Carnival – מפעילת קווי השייט הגדולה בעולם, אישרה דלף מידע אשר פגע בכ- 6 מיליון איש. את מתקפת הסייבר אשר הביאה לדלף המידע ביצעה באפריל השנה קבוצת הסייבר ShinyHunters. ענקית קווי השייט מעסיקה למעלה מ- 160,000 עובדים ושירתה כ- 13.5 מיליון נוסעים בשנת 2024 באמצעות צי של למעלה מ- 90 ספינות. Carnival מפעילה תשעה ממותגי קווי השייט המובילים בעולם (Carnival Cruise Line, Costa, P&O Australia, P&O Cruises, Princess Cruises, Holland American Line, AIDA, Cunard ו-Seabourn) וחברת טיולים (Holland America Princess Alaska Tours). החברה דיווחה על הכנסות של למעלה מ- 26 מיליארד דולר בשנה שעברה. Carnival החלה להודיע ל- 5,995,277 לקוחות כי פושעי סייבר גנבו את המידע שלהם ב- 10 באפריל, לאחר שהשיגו גישה לחלק ממערכות ה- IT של החברה במתקפת הנדסה חברתית.
"ב- 14 באפריל 2026 זיהה צוות אבטחת ה- IT של החברה פעילות בלתי מורשית הקשורה לחשבון של אחד העובדים. גורם פלילי השתמש בהנדסה חברתית כדי להטעות את העובד כדי להוציא מידיו גישה לחלק ממערכת ה- IT של החברה", מסרה החברה במכתבי הודעה על דלף המידע שנשלחו לאנשים שנפגעו. כמו כן נכתב בהודעה: "החברה פעלה במהירות כדי לחסום את הפעילות הבלתי מורשית והחלה מיד לעבוד עם מומחי אבטחה חיצוניים כדי לחזק עוד יותר את אבטחת המידע ולבצע חקירה יסודית. ב- 22 באפריל 2026 קבעה החברה לראשונה שהגורם הפלילי העתיק מידע אישי באופן בלתי חוקי."
בעוד ש- Carnival טרם ייחסה את מקור מתקפת הסייבר, לקחה קבוצת פשעי הסייבר ShinyHunters אחריות על מתקפת הסייבר וטענה כי גנבה מסמכים המכילים למעלה מ-8.7 מיליון רשומות בעלות מידע מזהה אישי וכן, נתונים פנימיים של החברה. למרות שדובר Carnival לא הגיב כאשר פנו אליו אנשי אתר BleepingComputer כדי לאשר את טענות ShinyHunters ולקבל פרטים נוספים על המידע שנגנב במתקפת הסייבר, ניתח שירות התראות דלף מידע Have I Been Pwned את הנתונים שנגנבו על ידי כנופיית הכופרה ואמר כי הפריצה חשפה את שמותיהם, תאריכי הלידה, כתובות הדוא"ל, המגדר, המיקומים הגיאוגרפיים ופרטי תוכנית הנאמנות של האנשים שנפגעו: "הנתונים הכילו שדות המצביעים על כך שהם קשורים לתוכנית הנאמנות Mariner Society המנוהלת על ידי Holland America – מותג קווי שייט תחת Carnival וכללו שמות, תאריכי לידה, מגדר ונתונים הקשורים למעמד בתוכנית הנאמנות", ציינו Have I Been Pwned.
במהלך השנה האחרונה כיוונה ShinyHunters מתקפות סייבר ללקוחות Salesforce ופרצה למאות חברות ברחבי העולם, בטענה שגנבה מיליארדי רשומות במתקפת Salesloft Drift ובמתקפות גניבת הנתונים Salesforce Aura. ה- FBI יעץ לקורבנות ShinyHunters לפני שבועיים לא לשלם את דרישות הכופר, לאחר שהזהיר בעבר כי פעולה זו אינה מבטיחה שגורמי איום פליליים לא ינסו לסחוט את הקורבנות שוב, או למכור את הנתונים הגנובים לפושעי סייבר אחרים.
יש לציין כי תאגיד Carnival חשף פרצות נתונים נוספות במרץ 2020 וביוני 2021 – פרצות ודלף מידע אשר חשפו מידע אישי וכלכלי השייך ללקוחות, עובדים ואנשי צוות, לאחר שגורמים פליליים השיגו גישה לחשבונות הדוא"ל של עובדי Carnival. כמו כן, כנופיות כופרה גנבו גם את המידע האישי של לקוחות ועובדי Carnival לאחר שפרצו למערכות המחשוב החברה באוגוסט 2020 ובדצמבר 2020.
