L’operatore di crociere Carnival Corporation ha confermato una grave violazione dei dati che ha colpito quasi sei milioni di persone dopo che gli aggressori hanno ottenuto accesso alle informazioni dei clienti tramite un account dipendente compromesso.
L’azienda ha dichiarato che l’intrusione è avvenuta nell’aprile 2026 dopo che i cybercriminali hanno utilizzato tattiche di ingegneria sociale per ingannare un dipendente e ottenere accesso non autorizzato ai sistemi interni. Carnival ha detto che l’attività sospetta è stata rapidamente bloccata dopo la rilevazione e l’intervento di specialisti esterni in cybersecurity per indagare sull’incidente.
Secondo rapporti di tracciamento delle violazioni e dataset trapelate esaminati dai ricercatori, l’incidente potrebbe aver rivelato informazioni legate a circa 5,5-7,5 milioni di persone collegate ai marchi Carnival e ai programmi di fidelizzazione.
I dati compromessi includono nomi, indirizzi email, date di nascita, generi, località geografiche e informazioni sui programmi di fedeltà collegati al programma Mariner Society di Holland America Line. Alcuni rapporti indicano anche che durante la violazione potrebbero essere stati consultati numeri e indirizzi di identificazione rilasciati dal governo.
Ricercatori e servizi di monitoraggio delle violazioni hanno collegato l’incidente al gruppo di criminalità informatica ShinyHunters, un collettivo di estorsione noto per aver preso di mira servizi cloud, piattaforme di accesso singolo e database aziendali di clienti. Il gruppo avrebbe tentato di estorcere Carnival prima che parti dei dati rubati venissero diffuse online.
Carnival non ha pubblicamente attribuito l’attacco a un attore minaccioso specifico. Tuttavia, l’incidente segue un’ondata crescente di violazioni legate a ShinyHunters che hanno preso di mira grandi aziende durante tutto il 2026, tra cui aziende di telecomunicazioni, aziende dell’ospitalità, rivenditori e piattaforme educative.
La violazione non è il primo incidente di cybersecurity che coinvolge Carnival. L’azienda aveva già divulgato attacchi ransomware e violazioni di dati nel 2020 e 2021 che hanno rivelato informazioni su clienti, dipendenti ed equipaggio in diversi marchi di crociere.
Carnival gestisce numerose compagnie crocieriste internazionali tra cui Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn e P&O Cruises. L’azienda serve milioni di passeggeri ogni anno e mantiene grandi banche dati contenenti informazioni sui viaggi, prenotazioni e programmi fedeltà.
L’azienda ha dichiarato che l’indagine in corso non ha identificato accessi non autorizzati ai sistemi di carte di pagamento o ai sistemi operativi delle navi. Carnival ha inoltre dichiarato di continuare a esaminare l’ambito dei dati interessati e di notificare le persone colpite dove richiesto dalla legge.