Carnival Corp. hat nun auch öffentlich einen Hacker-Angriff eingeräumt, den die Angreifer bereits Mitte April 2026 auf ihrer Website für sich reklamiert hatten. Betroffen sind laut Carnival knapp sechs Millionen Kunden. Die Analyse des Portals „Have I been Pwned“ soll ergeben haben, dass es sich dabei vor allem um Kunden des Treueprogramms „Mariner Society“ von Holland America Line handelt.
Öffentlich geworden sind bei dem Angriff laut Carnival Kontaktdaten und Ausweisnummern, aber keine Passwörter. Das Risiko für die Betroffenen besteht also vor allem in einem möglichen Identitätsdiebstahl unter Ausnutzung der erbeuteten Daten.
Am 14. April 2026 bemerkte die IT-Security der Carnival Corp. unautorisierte Aktivitäten an einem Account eines Mitarbeiters des Unternehmens, die bereits vier Tage zuvor begonnen hatten, schreibt Carnival Corp. in einer offiziellen Mitteilung. Man habe sofortige Maßnahmen zur Eindämmung ergriffen. Auch eine externe IT-Sicherheitsfirma sei hinzugezogen worden. Die Angreifer haben der Meldung von Carnival zufolge mit Hilfe von Social Engineering Zugang zu dem Account des Mitarbeiters und damit begrenzten Zugang zum IT-System des Kreuzfahrtunternehmens erlangt.
Social Engineering ist eine Hacking-Technik, bei der Angreifer das Opfer mit Tricks dazu bewegen, Zugangsdaten von sich aus preiszugeben, beispielsweise indem sie sich als Mitarbeiter der IT-Abteilung ausgeben und unter Vorspiegelung eines Notfalls die Herausgabe von Zugangsdaten erreichen. Welche genauen Social-Engineering-Methoden bei dem Angriff auf Carnival zum Einsatz kamen, ist nicht bekannt.
Allerdings erst am 27. Mai 2026 hat Carnival dann begonnen, betroffene Kunden offiziell und individuell über das Datenleck zu informieren, bei dem nach Angaben des Unternehmens Namen, Adressen, E-Mail-Adressen und Telefonnummern, Geburtsdaten sowie Ausweis- und Passnummern exponiert waren. Passwörter waren dagegen wohl nicht Teil der erbeuteten Daten.
Warum die Information der Betroffenen erst mehr als einen Monat nach Entdeckung des Datenlecks erfolgte, sagt Carnival nicht. In der öffentlichen Mitteilung schreibt Carnival aber: „Das Unternehmen führt derzeit eine gründliche und zeitaufwändige Analyse der betroffenen Daten durch, um festzustellen, welche personenbezogenen Daten darin enthalten sind und wem diese Daten gehören.“
Aus einer Pflichtmitteilung an die Generalstaatsanwaltschaft in Maine ist ersichtlich, dass insgesamt 5.995.277 Personen, also knapp sechs Millionen, von dem Datenleck betroffen sind. Eine Meldung in Main war nötig, weil auch knapp 10.000 Einwohner des US-Bundestaates betroffen sind.
Laut der Website „Have I been Pwned“ soll es sich bei den Betroffenen vor allem um Mitglieder des Treueprogramms „Mariner Society“ von Holland America Line handeln, eine der Kreuzfahrtmarken der Carnival Corp. Das Unternehmen selbst macht hierzu keine genaueren Angaben.
Die Hackergruppe Shinyhunters reklamiert den Angriff laut Cyberinsider für sich und hat eine entsprechende Notiz am 18. April veröffentlicht, mit Fristsetzung bis zum 21. April. Gedroht wurde mit Veröffentlichung der Daten, wenn Carnival kein Lösegeld bezahle. Shinyhunters reklamiert für sich, neben den Kundendaten auch größere Mengen an unternehmensinternen Daten abgegriffen zu haben. Ob Lösegeld gezahlt wurde, ist nicht bekannt. Cyberinsider berichtet jedenfalls, dass die Hackergruppe die Daten letztlich veröffentlich habe, woraufhin auch „Have I been Pawned“ sie auswerten kommt. Auf der Website können User kostenlos ermitteln, ob ihre E-Mail-Adresse unter den geleakten Daten ist.
Laut Security Week war Carnival bereits 2019 und 2021 von Hackerangriffen betroffen sowie im Dezember 2020 von einem Ransomware-Angriff, der vor allem den Neustart von AIDA Cruises und Costa während der Covid-19-Pandemie beeinträchtigte (Cruisetricks.de berichtete). Bei der Attacke im Jahr 2021 waren Kunden von Carnival Cruise Line, Princess Cruises und Holland America Line betroffen.
