L’opérateur de croisière Carnival Corporation a confirmé une importante violation de données touchant près de six millions de personnes après que des attaquants ont obtenu accès aux informations des clients via un compte employé compromis.
L’entreprise a révélé que l’intrusion avait eu lieu en avril 2026 après que des cybercriminels eurent utilisé des tactiques d’ingénierie sociale pour tromper un employé et obtenir un accès non autorisé aux systèmes internes. Carnival a indiqué que l’activité suspecte avait été rapidement bloquée après détection et que des spécialistes externes de la cybersécurité avaient été mobilisés pour enquêter sur l’incident.
Selon les rapports de suivi des violations et les jeux de données divulgués examinés par des chercheurs, l’incident aurait pu révéler des informations liées à environ 5,5 à 7,5 millions de personnes liées aux marques Carnival et aux programmes de fidélité.
Les données compromises incluraient apparemment des noms, adresses e-mail, dates de naissance, sexes, localisations géographiques et informations sur le programme de fidélité liés au programme Mariner Society de Holland America Line. Certains rapports indiquent également que des numéros d’identification et adresses délivrés par le gouvernement ont pu être consultés lors de la brèche.
Des chercheurs et des services de surveillance des violations ont lié l’incident au groupe de cybercriminalité ShinyHunters, un collectif d’extorsion connu pour cibler les services cloud, les plateformes d’accès unique et les bases de données clients d’entreprise. Le groupe aurait tenté d’extorquer Carnival avant que des parties des données volées ne soient divulguées en ligne.
Carnival n’a pas publiquement attribué l’attaque à un acteur menaçant spécifique. Cependant, cet incident fait suite à une vague croissante de violations liées à ShinyHunters visant de grandes entreprises tout au long de 2026, notamment des entreprises de télécommunications, des entreprises hôtelières, des détaillants et des plateformes éducatives.
Cette violation n’est pas le premier incident de cybersécurité impliquant Carnival. L’entreprise a déjà divulgué des attaques par ransomware et des violations de données en 2020 et 2021 qui ont révélé des informations sur des clients, employés et équipages sur plusieurs marques de croisières.
Carnival exploite plusieurs compagnies de croisière mondiales, notamment Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn et P&O Cruises. L’entreprise dessert des millions de passagers chaque année et maintient de vastes bases de données contenant des informations sur les voyages, les réservations et les programmes de fidélité.
La société a indiqué que son enquête en cours n’avait pas identifié d’accès non autorisé aux systèmes de cartes de paiement ni aux systèmes opérationnels du navire. Carnival a également indiqué qu’il continue d’examiner la portée des données affectées et d’informer les personnes concernées lorsque la loi l’exige.