Cruise-operator Carnival Corporation heeft een groot datalek bevestigd dat bijna zes miljoen mensen treft, nadat aanvallers via een gecompromitteerd personeelsaccount toegang kregen tot klantinformatie.
Het bedrijf maakte bekend dat de inbraak plaatsvond in april 2026 nadat cybercriminelen social engineering-tactieken gebruikten om een werknemer te misleiden en ongeautoriseerde toegang tot interne systemen te verkrijgen. Carnival zei dat de verdachte activiteiten snel werden geblokkeerd nadat er externe cybersecurityspecialisten werden ingeschakeld om het incident te onderzoeken.
Volgens rapporten over het volgen van datalekken en gelekte datasets die door onderzoekers zijn bekeken, kan het incident informatie hebben blootgelegd die gekoppeld is aan ongeveer 5,5 miljoen tot 7,5 miljoen personen die verbonden zijn aan Carnival-merken en loyaliteitsprogramma’s.
De gecompromitteerde gegevens bevatten naar verluidt namen, e-mailadressen, geboortedata, geslachten, geografische locaties en informatie over het loyaliteitsprogramma die verband houden met het Mariner Society-programma van Holland America Line. Sommige rapporten geven ook aan dat door de overheid uitgegeven identificatienummers en adressen tijdens de inbreuk mogelijk zijn benaderd.
Onderzoekers en datalekmonitoringdiensten koppelden het incident aan de cybercrimegroep ShinyHunters, een afpersingscollectief dat bekendstaat om het targeten van clouddiensten, single sign-on platforms en zakelijke klantendatabases. De groep zou naar verluidt hebben geprobeerd Carnival af te persen voordat delen van de gestolen gegevens online werden gelekt.
Carnival heeft de aanval niet publiekelijk toegeschreven aan een specifieke dreigingsactor. Het incident volgt echter op een groeiende golf van datalekken die verband houden met ShinyHunters en die zich in 2026 op grote bedrijven richtten, waaronder telecommunicatiebedrijven, horecabedrijven, detailhandelaren en educatieplatforms.
De inbraak is niet het eerste cyberbeveiligingsincident waarbij Carnival betrokken is. Het bedrijf heeft eerder ransomware-aanvallen en datalekken in 2020 en 2021 bekendgemaakt, waardoor klant-, werknemers- en bemanningsinformatie over verschillende cruisemerken werd blootgesteld.
Carnival exploiteert meerdere wereldwijde cruisemaatschappijen, waaronder Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn en P&O Cruises. Het bedrijf bedient jaarlijks miljoenen passagiers en onderhoudt grote databases met informatie over reizen, boekingen en loyaliteitsprogramma’s.
Het bedrijf zei dat het lopende onderzoek geen ongeautoriseerde toegang tot betaalkaartsystemen of operationele scheepssystemen heeft vastgesteld. Carnival gaf ook aan dat het de omvang van de getroffen gegevens blijft beoordelen en getroffen personen op de hoogte stelt waar wettelijk verplicht.