Carnival Corporation, het moederbedrijf van Carnival Cruise Line, verstuurt nieuwe brieven met de tit el „Kennisgeving van een cyberbeveiligingsincident”, gedateerd 27 mei 2026. Als je het gevoel hebt dat je die zin al eens eerder hebt gelezen, dan verbeeld je je dat niet. In het afgelopen decennium heeft 's werelds grootste cruisemaatschappij een zorgwekkende staat van dienst opgebouwd op het gebied van inbreuken, ransomware-incidenten en boetes van toezichthouders, en dit incident uit 2026 voegt weer een nieuw hoofdstuk toe aan een toch al lange geschiedenis van cyberbeveiligingsincidenten.
In onze database staan verschillende gevallen van datalekken waarbij Carnival Corporation of een van haar dochterondernemingen betrokken is.
Alleen al tussen 2019 en 2021 heeft Carnival vier afzonderlijke cyberbeveiligingsincidenten gemeld bij het New York Department of Financial Services. Het ging daarbij om twee ransomware-aanvallen en een phishing-incident waarbij aanvallers malware hadden geïnstalleerd, toegang hadden gekregen tot interne systemen en deze hadden versleuteld, en persoonlijke gegevens van klanten en medewerkers hadden gestolen.
In dit recente geval heeft een aanvaller op 14 april 2026 via social engineering een medewerker van Carnival ertoe verleid toegang te verlenen tot een deel van de IT-systemen van het bedrijf. Op 22 april heeft de aanvaller via een gehackt account toegang verkregen tot een „beperkt deel“ van de IT-systemen van Carnival, waar hij persoonlijke gegevens heeft kunnen kopiëren voordat hij werd geblokkeerd.
Volgens de melding van het datalek die in Maine is ingediend, zijn in totaal 5.995.277 mensen getroffen. Carnival heeft vastgesteld dat de indringer op onrechtmatige wijze bestanden met persoonlijke gegevens heeft gekopieerd en stuurt de betrokkenen nu een brief om hen te informeren dat er „gegevenselementen“ over hen zijn buitgemaakt.
Onderzoekers die door Gblock worden aangehaald, zeggen dat de gestolen gegevens onder meer het volgende lijken te bevatten:
- Volledige namen
- E-mailadressen
- Geboortedata
- Geslachten
- Lidmaatschapsstatus en -niveau van de Mariner Society
- Interne klantidentificatiegegevens
In de standaardbrief worden geen specifieke gegevensvelden vermeld. In plaats daarvan wordt er een plaatshouder gebruikt:
“We have determined that your <<data elements>> were obtained.”
Dit wijst er sterk op dat Carnival elke brief vult met gegevenscategorieën die relevant zijn voor die specifieke persoon, een veelvoorkomend patroon bij grootschalige datalekken waarbij mensen op verschillende momenten mogelijk verschillende informatie hebben verstrekt.
Bovendien bevatten de brieven de gebruikelijke informatie over de snelheid waarmee het bedrijf heeft gehandeld, waarbij externe deskundigen zijn ingeschakeld, en wordt de indruk gewekt dat de getroffen systemen slechts een beperkt deel van de omgeving vormen. Voor de ontvangers is het niet van belang hoe beperkt het datalek vanuit het oogpunt van het bedrijf was, maar of de gelekte informatie kan worden gebruikt voor identiteitsdiefstal, fraude of zeer overtuigende phishingaanvallen.
Er vinden dagelijks datalekken plaats. Zorg dat u niet als laatste op de hoogte bent.
Uit eerdere incidenten bij Carnival weten we dat de gelekte gegevens namen, adressen, geboortedata, paspoortnummers, medische gegevens en betalingsgegevens omvatten. Bij eerdere inbreuken waarbij cruisemaatschappijen betrokken waren, varieerden de gecompromitteerde gegevens van basiscontactgegevens tot burgerservicenummers en creditcardgegevens. Carnival heeft niet openbaar gemaakt welke categorieën gegevens precies bij het incident van 2026 betrokken waren, maar aangezien het bij dit incident van 2026 opnieuw gaat om "persoonlijke informatie" die uit interne systemen is gekopieerd, is het redelijk om dit als een ernstig privacyincident te beschouwen, ook al verschilt de exacte samenstelling van de gegevens per persoon.
De aanslag werd opgeëist door de afpersingsgroep ShinyHunters, die erom bekendstaat gegevens te stelen en vervolgens losgeld te eisen. Als het slachtoffer niet akkoord gaat met de voorwaarden, worden de gegevens openbaar gemaakt en/of verkocht aan de hoogste bieder.
Vanuit het oogpunt van cybercriminelen zijn gegevens uit de cruisesector zeer gewild. Cruisepassagiers zijn vaak relatief welgesteld, en passagiersgegevens bevatten vaak een combinatie van identiteitsgegevens (namen, adressen, geboortedata, paspoortnummers), contactgegevens (e-mailadressen, telefoonnummers) en mogelijk ook betalingsgegevens (kaartnummers en soms bankgegevens), waardoor ze zeer waardevol zijn voor identiteitsdiefstal, gerichte phishing en fraude.
Wat te doen als u hiermee te maken krijgt
Om de gevolgen te verzachten, biedt Carnival een gratis pakket voor kredietbewaking van TransUnion aan voor een periode van 24 maanden, dat wordt aangeboden via het MyTrueIdentity-platform en wordt ondersteund door Cyberscout voor hulp bij fraude.
Wees op uw hoede voor e-mails, sms-berichten of telefoontjes die zogenaamd afkomstig zijn van Carnival of kredietbewakingsbedrijven, aangezien cybercriminelen vaak misbruik maken van datalekken door middel van phishing. Lees ons advies over wat u moet doen als u merkt dat u te maken heeft met een datalek.
Wat weten cybercriminelen over jou?
Gebruik de gratis Digital Footprint-scan Malwarebytes om te zien of uw persoonlijke gegevens online zijn blootgesteld.
