Violações de dados, Notícias

A Carnival confirma violação de dados que afetou quase 6 milhões de pessoas

por Pieter Arntz | 28 de maio de 2026
mulher e navio de cruzeiro

A Carnival Corporation, controladora da Carnival Cruise Line, está enviando novas cartas intituladas “Notificação de Incidente de Segurança Cibernética”, datadas de 27 de maio de 2026. Se você tem a impressão de já ter lido essa frase antes, não está imaginando coisas. Ao longo da última década, a maior operadora de cruzeiros do mundo acumulou um histórico preocupante de violações, incidentes de ransomware e penalidades regulatórias, com este incidente de 2026 acrescentando mais um registro a um histórico de segurança cibernética já extenso.

Existem várias violações de dados envolvendo a Carnival Corporation ou uma de suas subsidiárias em nosso banco de dados.

Somente entre 2019 e 2021, a Carnival comunicou quatro incidentes distintos de segurança cibernética ao Departamento de Serviços Financeiros de Nova York. Entre eles, destacam-se dois ataques de ransomware e um incidente de phishing no qual os invasores instalaram malware, acessaram e criptografaram sistemas internos e roubaram informações pessoais de clientes e funcionários.

Neste último caso, um invasor utilizou técnicas de engenharia social para induzir um funcionário da Carnival a conceder acesso a parte dos sistemas de TI da empresa em 14 de abril de 2026. Em 22 de abril, ele utilizou uma conta comprometida para acessar uma “parte limitada” dos sistemas de TI da Carnival, onde conseguiu copiar dados pessoais antes de ser bloqueado.

De acordo com a notificação de violação de dados apresentada no Maine, um total de 5.995.277 pessoas foram afetadas. A Carnival constatou que o invasor copiou ilegalmente arquivos contendo informações pessoais e está agora entrando em contato com as pessoas afetadas para informá-las de que “elementos de dados” a elas referentes foram obtidos.

Pesquisadores citados pelo Gblock afirmam que os dados roubados parecem incluir:

  • Nomes completos
  • Endereços de e-mail
  • Datas de nascimento
  • Gêneros
  • Status e nível de adesão ao Mariner Society
  • Identificadores internos de clientes

O modelo de carta não indica campos de dados específicos. Em vez disso, utiliza um espaço reservado:

“We have determined that your <<data elements>> were obtained.”

Isso sugere fortemente que a Carnival está preenchendo cada carta com categorias de dados relevantes para cada indivíduo em particular, um padrão comum em grandes violações de dados, nas quais as pessoas podem ter fornecido informações diferentes em momentos distintos.

Além disso, as cartas apresentam o conteúdo habitual sobre a rapidez com que a empresa agiu, recorrendo a especialistas externos, e descrevem os sistemas afetados como um subconjunto limitado do ambiente. Para os destinatários, o que importa não é o quão limitada a violação tenha sido do ponto de vista da empresa, mas sim se as informações expostas poderiam ser utilizadas para roubo de identidade, fraude ou ataques de phishing altamente convincentes.

As violações de segurança acontecem todos os dias. Não seja o último a saber.

Sabemos, com base em incidentes anteriores da Carnival, que os dados expostos incluíram nomes, endereços, datas de nascimento, números de passaporte, informações de saúde e detalhes de pagamento. Em violações anteriores que afetaram empresas de cruzeiros, os dados comprometidos variaram de informações básicas de contato a números de previdência social e informações de cartão de crédito. A Carnival não divulgou publicamente todas as categorias de dados envolvidas no incidente de 2026, mas, considerando que esse evento de 2026 envolve novamente “informações pessoais” copiadas de sistemas internos, é razoável tratá-lo como um incidente grave de privacidade, mesmo que a combinação exata de dados varie de pessoa para pessoa.

O ataque foi reivindicado pelo grupo de extorsão ShinyHunters, conhecido por roubar dados e, em seguida, exigir um resgate. Se a vítima não concordar com os termos, os dados serão publicados e/ou vendidos ao melhor comprador.

A ShinyHunters disponibiliza dados do Carnaval para download
A ShinyHunters disponibiliza dados do Carnaval para download

Do ponto de vista de um cibercriminoso, os dados do setor de cruzeiros são altamente cobiçados. Os passageiros de cruzeiros costumam ser relativamente abastados, e os registros de passageiros podem incluir dados de identidade (nomes, endereços, datas de nascimento, números de passaporte), dados de contato (e-mails, números de telefone) e, potencialmente, dados de pagamento (números de cartão e, às vezes, dados bancários), tornando-os valiosos para roubo de identidade, phishing direcionado e fraudes.

O que fazer se você for afetado

Para minimizar os efeitos negativos, a Carnival está oferecendo um pacote gratuito de monitoramento de crédito da TransUnion com duração de 24 meses, disponibilizado pela plataforma MyTrueIdentity e com suporte da Cyberscout para assistência em casos de fraude.

Tenha cuidado com e-mails, mensagens de texto ou ligações que afirmem ser da Carnival ou de empresas de monitoramento de crédito, pois os cibercriminosos costumam explorar violações de dados por meio de golpes de phishing. Leia nossas dicas sobre o que fazer caso descubra que foi afetado por uma violação de dados.

O que os cibercriminosos sabem sobre você?

Use a verificação gratuita Digital Footprint Malwarebytes para verificar se suas informações pessoais foram expostas online.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

IA
Informações sobre ameaças: ameaças ocultas

Site falso de download do ChatGPT infecta Mac Windows Mac com malware

Maio 28, 2026

Está procurando o ChatGPT? Este site falso de download distribui malware tanto para Mac Windows Mac , utilizando cargas maliciosas específicas para cada plataforma.

Notícias
phishing em grande escala

O kit de phishing Kali365 contorna a autenticação de duas etapas (MFA) e rouba credenciais de login da Microsoft

Maio 27, 2026

O FBI alertou que os cibercriminosos estão usando um novo kit de phishing para obter acesso prolongado a contas do Microsoft Outlook, Teams e OneDrive.

Notícias
Celular sobre a mesa

A empresa se gabava de que os microfones dos telefones podiam escutar conversas. Mas não podiam.

Maio 27, 2026

A Cox Media afirmou que poderia espionar os usuários por meio de seus dispositivos e usar essas informações para publicidade direcionada, mas isso não era verdade.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes