Carnival Cruise mengonfirmasi pelanggaran data yang mempengaruhi hampir 6 juta orang

Carnival Corporation, operator jalur pelayaran terbesar di dunia, telah mengonfirmasi pelanggaran data yang memengaruhi hampir 6 juta orang yang diklaim oleh geng pemerasan ShinyHunters pada April 2026.

Raksasa jalur pelayaran ini memiliki lebih dari 160.000 karyawan dan melayani sekitar 13,5 juta tamu pada tahun 2024 melalui armada lebih dari 90 kapal.

Carnival mengoperasikan sembilan merek kapal pesiar terkemuka di dunia (Carnival Cruise Line, Costa, P&O Australia, P&O Cruises, Princess Cruises, Holland American Line, AIDA, Cunard, dan Seabourn) dan perusahaan tur perjalanan (Holland America Princess Alaska Tours), dan perusahaan tersebut melaporkan pendapatan lebih dari $26 miliar pada tahun lalu.

Perusahaan mulai memberi tahu 5.995.277 pelanggan pada hari Rabu bahwa pelaku ancaman mencuri data mereka dalam pelanggaran 10 April setelah mendapatkan akses ke beberapa sistem TI dalam serangan rekayasa sosial.

“Pada 14 April 2026, tim keamanan TI Perusahaan mengidentifikasi aktivitas tidak sah yang melibatkan akun karyawan. Aktor tidak sah menggunakan rekayasa sosial untuk menipu karyawan agar mendapatkan akses ke sebagian terbatas sistem TI Perusahaan,” kata perusahaan itu dalam surat pemberitahuan pelanggaran data dikirim ke individu yang terkena dampak.

“Perusahaan bertindak cepat untuk memblokir aktivitas tidak sah dan segera mulai bekerja sama dengan pakar keamanan pihak ketiga untuk lebih memperkuat keamanan kami dan melakukan penyelidikan menyeluruh. Pada tanggal 22 April 2026, Perusahaan pertama kali menetapkan bahwa pelaku kejahatan menyalin informasi pribadi secara ilegal.”

Meskipun Carnival belum menyebutkan penyebab serangan tersebut, kelompok kejahatan dunia maya ShinyHunters mengaku bertanggung jawab atas pelanggaran tersebut pada bulan April, dengan mengatakan bahwa mereka mencuri dokumen yang berisi lebih dari 8,7 juta catatan berisi informasi identitas pribadi dan terabyte data internal perusahaan.

Meskipun juru bicara Karnaval tidak menjawab ketika BleepingComputer menghubungi untuk mengkonfirmasi klaim ShinyHunters dan untuk rincian lebih lanjut tentang data apa yang dicuri dalam serangan itu, layanan pemberitahuan pelanggaran data Have I Been Pwned menganalisis data yang dibocorkan oleh komplotan pemeras dan mengatakan pelanggaran tersebut mengungkap nama orang yang terkena dampak, tanggal lahir, alamat email, jenis kelamin, lokasi geografis, dan rincian program loyalitas.

“Data tersebut berisi kolom yang menunjukkan hal tersebut terkait dengan program loyalitas Mariner Society yang dijalankan oleh Holland America, merek kapal pesiar di bawah Carnival, dan menyertakan nama, tanggal lahir, jenis kelamin, dan data terkait status dalam program loyalitas tersebut,” kata Have I Been Pwned.

Selama setahun terakhir, ShinyHunters telah menargetkan pelanggan Salesforce dan telah melanggar ratusan perusahaan di seluruh dunia, mengklaim telah mencuri miliaran catatan di Kampanye Salesloft Drift dan itu Serangan pencurian data Salesforce Aura.

FBI saran para korban ShinyHunters dua minggu lalu untuk tidak membayar tuntutan tebusan para penyerang peringatan sebelumnya bahwa hal ini tidak menjamin pelaku ancaman tidak akan mencoba memeras korbannya lagi atau menjual data yang dicuri kepada penjahat dunia maya lainnya.

Carnival Corporation mengungkapkan pelanggaran data lainnya di Maret 2020 Dan Juni 2021 yang mengungkap informasi pribadi dan keuangan milik pelanggan, karyawan, dan kru setelah pelaku ancaman memperoleh akses ke akun email karyawan Karnaval.

Geng Ransomware juga mencuri informasi pribadi pelanggan dan karyawan Karnaval setelah melanggar sistem perusahaan di Agustus 2020 Dan Desember 2020.