A operadora de cruzeiros Carnival Corporation confirmou uma grande violação de dados que afetou quase seis milhões de pessoas após atacantes terem acesso às informações dos clientes por meio de uma conta de funcionário comprometida.
A empresa revelou que a invasão ocorreu em abril de 2026, após cibercriminosos usarem táticas de engenharia social para enganar um funcionário e obter acesso não autorizado a sistemas internos. A Carnival informou que a atividade suspeita foi rapidamente bloqueada após a detecção e a chamada de especialistas externos em cibersegurança para investigar o incidente.
De acordo com relatórios de rastreamento de violações e conjuntos de dados vazados revisados por pesquisadores, o incidente pode ter exposto informações ligadas a aproximadamente 5,5 milhões a 7,5 milhões de pessoas ligadas às marcas e programas de fidelidade da Carnival.
Os dados comprometidos supostamente incluem nomes, endereços de e-mail, datas de nascimento, gêneros, localizações geográficas e informações do programa de fidelidade relacionadas ao programa Mariner Society da Holland America Line. Alguns relatos também indicam que números de identificação e endereços emitidos pelo governo podem ter sido acessados durante a violação.
Pesquisadores e serviços de monitoramento de violações associaram o incidente ao grupo de crimes cibernéticos ShinyHunters, um coletivo de extorsão conhecido por atacar serviços em nuvem, plataformas de login único e bancos de dados corporativos de clientes. O grupo teria tentado extorquir o Carnival antes que partes dos dados roubados fossem vazadas online.
A Carnival não atribuiu publicamente o ataque a um ator ameaçador específico. No entanto, o incidente ocorre após uma onda crescente de violações ligadas ao ShinyHunters que visam grandes corporações ao longo de 2026, incluindo empresas de telecomunicações, empresas de hospitalidade, varejistas e plataformas educacionais.
A violação não é o primeiro incidente de cibersegurança envolvendo a Carnival. A empresa já divulgou ataques de ransomware e vazamentos de dados em 2020 e 2021 que expuseram informações de clientes, funcionários e tripulantes em várias marcas de cruzeiros.
A Carnival opera várias companhias globais de cruzeiros, incluindo Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn e P&O Cruises. A empresa atende milhões de passageiros anualmente e mantém grandes bancos de dados contendo informações sobre viagens, reservas e programas de fidelidade.
A empresa afirmou que sua investigação em andamento não identificou acesso não autorizado a sistemas de cartão de pagamento ou sistemas operacionais de navios. A Carnival também afirmou que continua revisando o escopo dos dados afetados e notificando os indivíduos afetados quando exigido por lei.