A Carnival Corporation, empresa-mãe da Carnival Cruise Line, está a enviar novas cartas intituladas «Notificação de Incidente de Cibersegurança», datadas de 27 de maio de 2026. Se lhe parece que já leu esta frase antes, não está a imaginar coisas. Ao longo da última década, a maior operadora de cruzeiros do mundo acumulou um historial preocupante de violações, incidentes de ransomware e sanções regulamentares, com este incidente de 2026 a acrescentar mais um registo a um historial de cibersegurança já extenso.
Existem várias violações de dados que envolvem a Carnival Corporation ou uma das suas subsidiárias na nossa base de dados.
Só entre 2019 e 2021, a Carnival comunicou quatro incidentes de cibersegurança distintos ao Departamento de Serviços Financeiros de Nova Iorque. Entre estes contavam-se dois ataques de ransomware e um incidente de phishing, no qual os atacantes instalaram malware, acederam a sistemas internos e os encriptaram, e roubaram informações pessoais de clientes e funcionários.
Neste último caso, um atacante recorreu a técnicas de engenharia social para induzir um funcionário da Carnival a conceder-lhe acesso a parte dos sistemas informáticos da empresa, em 14 de abril de 2026. Em 22 de abril, utilizou uma conta comprometida para aceder a uma «parte limitada» dos sistemas informáticos da Carnival, onde conseguiu copiar dados pessoais antes de ser bloqueado.
De acordo com a notificação de violação de dados apresentada no Maine, um total de 5 995 277 pessoas foram afetadas. A Carnival concluiu que o intruso tinha copiado ilegalmente ficheiros contendo informações pessoais e está agora a contactar por escrito as pessoas afetadas para as informar de que foram obtidos «elementos de dados» que lhes dizem respeito.
Os investigadores citados pela Gblock afirmam que os dados roubados parecem incluir:
- Nomes completos
- Endereços de correio eletrónico
- Datas de nascimento
- Géneros
- Estatuto e nível de adesão à Mariner Society
- Identificadores internos de clientes
O modelo de carta não indica campos de dados específicos. Em vez disso, utiliza um espaço reservado:
“We have determined that your <<data elements>> were obtained.”
Isto sugere fortemente que a Carnival está a preencher cada carta com categorias de dados relevantes para cada indivíduo em particular, um padrão comum em grandes violações de dados, em que as pessoas podem ter fornecido informações diferentes em momentos distintos.
Além disso, as cartas incluem o conteúdo habitual sobre a rapidez com que a empresa agiu, recorrendo a peritos externos, e apresentam os sistemas afetados como um subconjunto limitado do ambiente. Para os destinatários, o que importa não é o quão limitada a violação tenha sido do ponto de vista da empresa, mas sim se as informações expostas poderão ser utilizadas para roubo de identidade, fraude ou ataques de phishing altamente convincentes.
As violações de segurança ocorrem todos os dias. Não seja o último a saber.
Sabemos, com base em incidentes anteriores da Carnival, que os dados expostos incluíram nomes, endereços, datas de nascimento, números de passaporte, informações de saúde e dados de pagamento. Em violações anteriores que afetaram companhias de cruzeiros, os dados comprometidos variaram desde dados de contacto básicos até números de segurança social e informações de cartões de crédito. A Carnival não divulgou publicamente todas as categorias de dados envolvidos no incidente de 2026, mas, dado que este evento de 2026 envolve novamente «informações pessoais» copiadas de sistemas internos, é razoável tratá-lo como um incidente grave de privacidade, mesmo que a combinação exata de dados varie de pessoa para pessoa.
O ataque foi reivindicado pelo grupo de extorsão ShinyHunters, conhecido por roubar dados e, em seguida, exigir um resgate. Se a vítima não aceitar os termos, os dados serão publicados e/ou vendidos ao melhor licitante.
Do ponto de vista de um cibercriminoso, os dados do setor dos cruzeiros são extremamente valiosos. Os passageiros de cruzeiros são frequentemente pessoas com um nível de rendimento relativamente elevado, e os registos dos passageiros podem incluir dados de identificação (nomes, moradas, datas de nascimento, números de passaporte), dados de contacto (endereços de e-mail, números de telefone) e, potencialmente, dados de pagamento (números de cartão e, por vezes, dados bancários), tornando-os valiosos para o roubo de identidade, o phishing direcionado e a fraude.
O que fazer se for afetado
Para minimizar as consequências, a Carnival está a oferecer um pacote gratuito de monitorização de crédito da TransUnion com a duração de 24 meses, disponibilizado através da plataforma MyTrueIdentity e apoiado pela Cyberscout para assistência em casos de fraude.
Tenha cuidado com e-mails, mensagens de texto ou chamadas que aleguem ser da Carnival ou de empresas de monitorização de crédito, uma vez que os cibercriminosos costumam aproveitar-se de fugas de dados para realizar esquemas de phishing. Leia os nossos conselhos sobre o que fazer caso descubra que foi afetado por uma fuga de dados.
O que os cibercriminosos sabem sobre si?
Use a verificação gratuita Digital Footprint Malwarebytes para ver se as suas informações pessoais foram expostas online.
