Carnival Corporation, spółka macierzysta Carnival Cruise Line, rozsyła nowe pisma zatytułowane „Powiadomienie o zdarzeniu związanym z cyberbezpieczeństwem” z datą 27 maja 2026 r. Jeśli wydaje Ci się, że już kiedyś czytałeś to zdanie, to nie są to tylko Twoje wyobrażenia. W ciągu ostatniej dekady największy na świecie operator rejsów wycieczkowych zgromadził niepokojącą historię naruszeń, incydentów związanych z oprogramowaniem ransomware oraz kar regulacyjnych, a incydent z 2026 r. stanowi kolejny wpis w i tak już długiej historii cyberbezpieczeństwa.
W naszej bazie danych odnotowano kilka przypadków naruszenia bezpieczeństwa danych dotyczących Carnival Corporation lub jednej z jej spółek zależnych.
Tylko w latach 2019–2021 firma Carnival zgłosiła do Departamentu Usług Finansowych stanu Nowy Jork cztery odrębne incydenty związane z cyberbezpieczeństwem. Były to między innymi dwa ataki z wykorzystaniem oprogramowania ransomware oraz incydent phishingowy, w ramach którego napastnicy zainstalowali złośliwe oprogramowanie, uzyskali dostęp do wewnętrznych systemów i zaszyfrowali je, a także wykradli dane osobowe klientów i pracowników.
W tym najnowszym przypadku 14 kwietnia 2026 r. osoba atakująca wykorzystała socjotechnikę, aby nakłonić pracownika firmy Carnival do udzielenia dostępu do części systemów informatycznych przedsiębiorstwa. Do 22 kwietnia wykorzystała ona przejęte konto, aby uzyskać dostęp do „ograniczonej części” systemów informatycznych firmy Carnival, gdzie udało jej się skopiować dane osobowe, zanim została zablokowana.
Zgodnie z zawiadomieniem o naruszeniu bezpieczeństwa danych złożonym w stanie Maine, incydent dotknął łącznie 5 995 277 osób. Firma Carnival ustaliła, że intruz bezprawnie skopiował pliki zawierające dane osobowe, i obecnie wysyła pisma do osób, których to dotyczy, informując je, że uzyskano dostęp do „elementów danych” ich dotyczących.
Naukowcy, na których powołuje się serwis Gblock, twierdzą, że skradzione dane najprawdopodobniej obejmują:
- Pełne imiona i nazwiska
- Adresy email
- Daty urodzenia
- Płeć
- Status członkostwa w Mariner Society i poziom członkostwa
- Wewnętrzne identyfikatory klientów
Wzór listu nie zawiera konkretnych pól danych. Zamiast tego wykorzystuje symbol zastępczy:
“We have determined that your <<data elements>> were obtained.”
Wskazuje to wyraźnie, że firma Carnival wypełnia każdą wiadomość danymi dotyczącymi konkretnej osoby, co jest typowym zjawiskiem w przypadku poważnych naruszeń bezpieczeństwa, gdzie użytkownicy mogli podawać różne informacje w różnych momentach.
Ponadto w pismach tych zawarto standardowe informacje dotyczące szybkości działania firmy oraz zaangażowania zewnętrznych ekspertów, a także przedstawiono dotknięte systemy jako ograniczoną część całego środowiska. Dla adresatów istotne znaczenie ma nie to, jak niewielki był zakres naruszenia z punktu widzenia firmy, ale to, czy ujawnione informacje mogą zostać wykorzystane do kradzieży tożsamości, oszustw lub bardzo przekonujących ataków phishingowych.
Naruszenia bezpieczeństwa zdarzają się codziennie. Nie bądź ostatnim, który się o tym dowie.
Z poprzednich incydentów dotyczących Carnival wiemy, że wśród ujawnionych danych znalazły się imiona i nazwiska, adresy, daty urodzenia, numery paszportów, informacje dotyczące zdrowia oraz dane dotyczące płatności. W poprzednich naruszeniach dotyczących linii wycieczkowych ujawnione dane obejmowały zarówno podstawowe dane kontaktowe, jak i numery ubezpieczenia społecznego oraz informacje o kartach kredytowych. Firma Carnival nie ujawniła publicznie pełnych kategorii danych, których dotyczyło zdarzenie z 2026 r., ale biorąc pod uwagę, że to zdarzenie z 2026 r. ponownie dotyczy „danych osobowych” skopiowanych z systemów wewnętrznych, uzasadnione jest traktowanie go jako poważnego incydentu związanego z naruszeniem prywatności, nawet jeśli dokładny zestaw danych różni się w zależności od osoby.
Do ataku przyznała się grupa ShinyHunters zajmująca się wymuszaniem okupu, znana z kradzieży danych, po której żąda okupu. Jeśli ofiara nie zgodzi się na warunki, dane zostaną opublikowane i/lub sprzedane temu, kto zaoferuje najwyższą cenę.
Z punktu widzenia cyberprzestępców dane dotyczące branży rejsowej są niezwykle cenne. Pasażerowie rejsów to często osoby stosunkowo zamożne, a dane pasażerskie mogą zawierać informacje dotyczące tożsamości (nazwiska, adresy, daty urodzenia, numery paszportów), dane kontaktowe (adresy e-mail, numery telefonów) oraz potencjalnie dane dotyczące płatności (numery kart, a czasem dane bankowe), co czyni je cennym materiałem do kradzieży tożsamości, ukierunkowanego phishingu i oszustw.
Co zrobić, jeśli dotyczy to Ciebie
Aby złagodzić skutki tej sytuacji, firma Carnival oferuje bezpłatny 24-miesięczny pakiet monitorowania historii kredytowej firmy TransUnion, udostępniany za pośrednictwem platformy MyTrueIdentity i wspierany przez firmę Cyberscout w zakresie pomocy w przypadku oszustw.
Zachowaj ostrożność w przypadku e-maili, SMS-ów lub telefonów rzekomo pochodzących od firmy Carnival lub podmiotów zajmujących się monitorowaniem historii kredytowej, ponieważ cyberprzestępcy często wykorzystują wycieki danych do przeprowadzania ataków phishingowych. Zapoznaj się z naszymi wskazówkami dotyczącymi postępowania w przypadku stwierdzenia, że padłeś ofiarą wycieku danych.
Co cyberprzestępcy wiedzą o Tobie?
Skorzystaj z bezpłatnego skanowania śladu cyfrowego Malwarebytes, aby sprawdzić, czy Twoje dane osobowe zostały ujawnione w Internecie.
