Kruvaziyer operatörü Carnival Corporation, saldırganların tehlikeye girmiş bir çalışan hesabı üzerinden müşteri bilgilerine erişim sağlaması üzerine yaklaşık altı milyon kişiyi etkileyen büyük bir veri ihlali olduğunu doğruladı.
Şirket, bu müdahalenin, siber suçluların bir çalışanı kandırmak ve dahili sistemlere yetkisiz erişim sağlamak için sosyal mühendislik taktikleri kullanması sonucu Nisan 2026’da gerçekleştiğini açıkladı. Carnival, şüpheli faaliyetin tespit edildikten sonra hızla engellendiğini ve olayı araştırmak için dışarıdan siber güvenlik uzmanlarının çağrıldığını belirtti.
Araştırmacılar tarafından incelenen ihlal takip raporları ve sızdırılmış veri setlerine göre, olay Carnival markaları ve sadakat programlarına bağlı yaklaşık 5,5 milyon ila 7,5 milyon kişiye bağlı bilgileri ortaya çıkarmış olabilir.
Ele geçirilen verilerin isimleri, e-posta adreslerini, doğum tarihlerini, cinsiyetleri, coğrafi konumları ve Holland America Line’ın Mariner Society programına bağlı sadakat programı bilgilerini içerdiği bildiriliyor. Bazı raporlar ayrıca, ihlal sırasında hükümet tarafından verilen kimlik numaraları ve adreslere erişilmiş olabileceğini belirtmektedir.
Araştırmacılar ve ihlal izleme servisleri, olayı bulut hizmetlerini, tek giriş platformlarını ve kurumsal müşteri veritabanlarını hedef alan bir şantaj kolektifi olan siber suç grubu ShinyHunters ile ilişkilendirdi. Grubun, çalınan verilerin bazı bölümleri internete sızmadan önce Carnival’dan şantaj yapmaya çalıştığı iddia ediliyor.
Carnival, saldırıyı kamuoyuna belirli bir tehdit aktörüne atfetmedi. Ancak olay, 2026 boyunca ShinyHunters ile bağlantılı ve telekomünikasyon firmaları, konaklama şirketleri, perakendeciler ve eğitim platformları dahil olmak üzere büyük şirketleri hedef alan artan ihlal dalgasının ardından gerçekleşiyor.
Bu ihlal, Carnival’ı içeren ilk siber güvenlik olayı değil. Şirket daha önce 2020 ve 2021 yıllarında çeşitli kruvaziyer markalarında müşteri, çalışan ve mürettebat bilgilerini ortaya çıkaran fidye yazılımı saldırıları ve veri ihlallerini açıklamıştı.
Carnival, Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn ve P&O Cruises dahil olmak üzere birçok küresel kruvaziyer şirketi işletmektedir. Şirket her yıl milyonlarca yolcuya hizmet veriyor ve seyahat, rezervasyon ve sadakat programı bilgilerini içeren büyük veri tabanlarını besliyor.
Şirket, devam eden soruşturmasının ödeme kartı sistemlerine veya operasyonel gemi sistemlerine yetkisiz erişim tespit etmediğini belirtti. Carnival ayrıca, etkilenen verilerin kapsamını incelemeye devam ettiğini ve yasanın gerektirdiği durumlarda etkilenen bireyleri bilgilendirmeye devam ettiğini belirtti.