Carnival Corporation, крупнейший в мире оператор круизных лайнеров, уведомил клиентов об утечке данных, затронувшей 5 995 277 человек. Инцидент произошел еще в апреле, однако подробности компания раскрыла только сейчас, после завершения расследования.

Представители Carnival сообщили, что атакующие получили доступ к части внутренних ИТ-систем, обманув одного из сотрудников компании с помощью социальной инженерии. Подозрительную активность специалисты обнаружили 14 апреля, а спустя несколько дней выяснили, что злоумышленники успели похитить персональные данные клиентов.

Хотя в компании не сообщили, кто именно стоял за атакой, еще в апреле ответственность за этот инцидент взяла на себя вымогательская группировка ShinyHunters. Тогда хакеры заявляли, что похитили терабайты внутренних данных Carnival и более 8,7 млн записей с персональной информацией.

По словам представителей Carnival, набор украденной информации варьируется от клиента к клиенту. Так, утечка могла содержать имена, домашние адреса, адреса электронной почты, номера телефонов, даты рождения и номера документов, удостоверяющих личность.

Ранее специалисты сервиса Have I Been Pwned изучили опубликованные ShinyHunters данные и сообщали, что утечка также затронула данные из программы лояльности Mariner Society, включая сведения о статусе участников и другую персональную информацию.

Издание Bleeping Computer пишет, что, судя по публикациям самих злоумышленников, переговоры между сторонами зашли в тупик. На своем сайте представители ShinyHunters утверждали, что Carnival отказалась выполнять требования группировки и платить выкуп.

Теперь пострадавшим клиентам предлагают два года бесплатного мониторинга кредитной истории через сервис TransUnion (стандартная практика для подобных инцидентов в США). Также в Carnival заявляют, что усилили меры защиты и контроля за подозрительной активностью, а также привлекли внешних ИБ-экспертов для расследования случившегося.

Следует отметить, что это не первый подобный случай для Carnival. Ранее компания уже сообщала об утечках данных. К примеру, в 2020 году злоумышленники получили доступ к данным клиентов и сотрудников после компрометации корпоративных учетных записей и внутренних систем компании.