A linha de cruzeiros mais popular do mundo sofreu uma grande violação de dados, expondo potencialmente as informações pessoais de milhões de passageiros
A Carnival Cruise Line anunciou no mês passado que seus sistemas sofreram um ataque cibernético em abril, que permitiu que um “ator não autorizado” acessasse nomes, endereços, endereços de e-mail, números de telefone, datas de nascimento e números de identificação emitidos pelo governo, incluindo carteiras de motorista e passaportes.
A gigante dos cruzeiros revelou que os hackers obtiveram acesso a uma parte limitada dos seus sistemas de TI depois de manipularem um funcionário através de um chamado ataque de “engenharia social”, uma tática que se baseia no engano e não em vulnerabilidades técnicas.
A Carnival disse que sua equipe de segurança detectou a intrusão em 14 de abril e conteve a violação ao iniciar uma investigação com especialistas externos em segurança cibernética.
Em poucos dias, os investigadores determinaram que os dados dos passageiros foram acessados, incluindo nomes, endereços residenciais, endereços de e-mail, números de telefone, datas de nascimento e números de identificação emitidos pelo governo, como carteiras de motorista e passaportes.
Embora a Carnival não tenha divulgado o número total de clientes afectados na sua declaração pública, um documento apresentado ao Gabinete do Procurador-Geral do Maine revelou que 5.995.277 pessoas podem ser afectadas.
A empresa começou a notificar os passageiros afetados e está oferecendo dois anos de monitoramento de crédito gratuito e serviços de proteção de identidade por meio da TransUnion.
Num comunicado, a Carnival disse que “lamenta profundamente este incidente e quaisquer preocupações que possa ter causado”, acrescentando que implementou medidas de segurança adicionais e equipamento de monitorização para ajudar a prevenir futuros ataques.
A Carnival Cruise Line anunciou no mês passado que seus sistemas sofreram um ataque cibernético em abril, que permitiu que um “ator não autorizado” acessasse nomes, endereços, endereços de e-mail, números de telefone, datas de nascimento e números de identificação emitidos pelo governo, incluindo carteiras de motorista e passaportes.
A Carnival tomou novas medidas para implantar segurança adicional em nossos sistemas, incluindo a implementação de controles aprimorados de segurança e monitoramento”, disse a empresa.
‘Estamos comprometidos com revisões contínuas de proteção de dados para fortalecer nossos programas e controles de segurança e privacidade.’
A Carnival Cruise Line passou por uma série de incidentes de segurança cibernética nos últimos anos, com violações expondo informações confidenciais de clientes e funcionários e levantando questões sobre a segurança de seus sistemas.
O primeiro grande incidente surgiu em março de 2020, quando a Carnival Corporation, a empresa-mãe, revelou que atores não autorizados tinham obtido acesso aos sistemas da empresa meses antes, em maio de 2019.
Segundo a empresa, a violação afetou sistemas associados a diversas marcas de cruzeiros e expôs informações pessoais de clientes e funcionários.
As informações comprometidas incluíam nomes, números de passaporte, informações de saúde e outros detalhes confidenciais.
Embora a Carnival tenha dito que identificou a intrusão em maio de 2019, a empresa só divulgou publicamente o incidente quase um ano depois.
Poucos meses depois desta revelação, a Carnival sofreu outro ataque cibernético.
Em 15 de agosto de 2020, a empresa detectou um ataque de ransomware que afetou uma de suas marcas de cruzeiros.
Os cibercriminosos se infiltraram em partes da rede de tecnologia da informação da Carnival, roubando arquivos e dados criptografados dos sistemas da empresa.
A Carnival alertou na época que o ataque poderia afetar hóspedes, funcionários e operações comerciais.
A gravidade do incidente levou a empresa a apresentar um relatório à Securities and Exchange Commission, informando aos investidores que hackers obtiveram acesso não autorizado a partes da sua rede.
Os resultados do ataque de ransomware revelaram que as informações pessoais foram novamente comprometidas.
A Carnival confirmou posteriormente que os registros expostos incluíam nomes, endereços, datas de nascimento e números de passaporte. Em alguns casos, a violação envolveu números de Segurança Social de funcionários e informações relacionadas com a saúde, levantando preocupações sobre o potencial de roubo de identidade e fraude.
Os pesquisadores de segurança apontam que os incidentes de 2020 não foram incidentes isolados.
Entre 2019 e 2021, a Carnival divulgou vários problemas de segurança cibernética, incluindo dois ataques de ransomware, um comprometimento relacionado a phishing e infecções por malware que resultaram em acesso não autorizado a informações de clientes e funcionários.
Os repetidos incidentes colocam o gigante dos cruzeiros entre um número crescente de grandes empresas que lutam para se defenderem contra ameaças cibernéticas cada vez mais sofisticadas.
Os desafios de segurança cibernética da empresa ressurgiram em 2026, naquela que se tornou uma das maiores violações de dados da sua história.
A Carnival revelou que um invasor usou técnicas de engenharia social para enganar um funcionário para que lhe desse acesso a sistemas internos.
Ao contrário dos ataques que exploram vulnerabilidades de software, a engenharia social depende da manipulação de pessoas para que concedam acesso ou revelem informações confidenciais.
A violação afetou quase 6 milhões de pessoas, tornando-se um dos incidentes de segurança cibernética mais significativos relatados pela empresa.
De acordo com a Carnival, as informações expostas incluem nomes, dados de contato, datas de nascimento e números de identificação emitidos pelo governo, como carteiras de motorista e informações de passaporte.
O incidente destacou a crescente ameaça de ataques cibernéticos centrados no ser humano, que se tornaram cada vez mais comuns à medida que os hackers visam os funcionários em vez de tentarem violar as defesas técnicas.
