Der Kreuzfahrtbetreiber Carnival Corporation hat eine große Datenpanne bestätigt, die fast sechs Millionen Menschen betrifft, nachdem Angreifer über ein kompromittiertes Mitarbeiterkonto Zugang zu Kundendaten erhalten hatten.
Das Unternehmen gab bekannt, dass der Einbruch im April 2026 stattfand, nachdem Cyberkriminelle Social-Engineering-Taktiken angewandt hatten, um einen Mitarbeiter zu täuschen und unbefugten Zugriff auf interne Systeme zu erhalten. Carnival erklärte, dass die verdächtigen Aktivitäten nach der Entdeckung schnell gestoppt wurden und externe Cybersicherheitsspezialisten zur Untersuchung des Vorfalls hinzugezogen wurden.
Laut Berichten zur Überwachung von Sicherheitsverletzungen und geleakten Datensätzen, die von Forschern geprüft wurden, könnte der Vorfall Informationen zu etwa 5,5 bis 7,5 Millionen Personen enthüllt haben, die mit Carnival-Marken und Treueprogrammen verbunden sind.
Die kompromittierten Daten enthalten Berichten zufolge Namen, E-Mail-Adressen, Geburtsdaten, Geschlechter, geografische Standorte und Informationen zum Treueprogramm, die mit dem Mariner Society-Programm von Holland America Line verbunden sind. Einige Berichte deuten auch darauf hin, dass während des Einbruchs auf staatlich ausgestellte Identifikationsnummern und Adressen zugegriffen worden sein könnten.
Forscher und Sicherheitsüberwachungsdienste brachten den Vorfall mit der Cyberkriminalitätsgruppe ShinyHunters in Verbindung, einem Erpressungskollektiv, das dafür bekannt ist, Cloud-Dienste, Single-Sign-On-Plattformen und Unternehmenskundendatenbanken ins Visier zu nehmen. Die Gruppe soll versucht haben, Carnival zu erpressen, bevor Teile der gestohlenen Daten online geleakt wurden.
Carnival hat den Angriff nicht öffentlich einem bestimmten Bedrohungsakteur zugeschrieben. Der Vorfall folgt jedoch auf eine wachsende Welle von Sicherheitsvorfällen im Zusammenhang mit ShinyHunters, die im Jahr 2026 große Unternehmen ins Visier nahmen, darunter Telekommunikationsunternehmen, Gastgewerbeunternehmen, Einzelhändler und Bildungsplattformen.
Der Sicherheitsvorfall ist nicht der erste Cybersicherheitsvorfall, der Carnival betrifft. Das Unternehmen hatte bereits 2020 und 2021 Ransomware-Angriffe und Datenpannen offengelegt, die Kunden-, Mitarbeiter- und Besatzungsinformationen mehrerer Kreuzfahrtmarken offenlegten.
Carnival betreibt mehrere globale Kreuzfahrtlinien, darunter Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn und P&O Cruises. Das Unternehmen bedient jährlich Millionen von Passagieren und unterhält umfangreiche Datenbanken mit Informationen zu Reise, Buchungen und Treueprogrammen.
Das Unternehmen teilte mit, dass seine laufenden Untersuchungen keinen unbefugten Zugriff auf Zahlungskartensysteme oder operative Schiffssysteme festgestellt haben. Carnival erklärte außerdem, dass es weiterhin den Umfang der betroffenen Daten überprüft und betroffene Personen benachrichtigt, wo es gesetzlich vorgeschrieben ist.