A operadora de cruzeiros Carnival confirmou que sofreu um ataque cibernético que resultou no roubo de informações pessoais de clientes após invasores obterem acesso a parte de seu ambiente corporativo por meio do comprometimento de uma conta de funcionário.
Segundo a empresa, a atividade maliciosa foi identificada em abril e uma investigação interna concluiu que os criminosos conseguiram copiar dados armazenados em sistemas corporativos. As informações comprometidas variam conforme cada vítima, mas incluem nomes completos, endereços, e-mails, números de telefone, datas de nascimento, passaportes e dados de carteira de motorista.
Embora a Carnival não tenha divulgado oficialmente o total de pessoas afetadas, documentos enviados a autoridades regulatórias do estado do Maine, nos Estados Unidos, apontam que quase 6 milhões de clientes podem ter tido seus dados expostos.
O ataque foi reivindicado pelo grupo hacker ShinyHunters, conhecido por campanhas de roubo de dados e extorsão contra grandes organizações. Os criminosos alegaram ter obtido milhões de registros da companhia e chegaram a publicar parte das informações em um portal de vazamentos. Apesar disso, a Carnival não atribuiu oficialmente a autoria do incidente ao grupo.
A empresa afirmou ter adotado medidas imediatas para conter o acesso não autorizado, acionado especialistas externos em segurança cibernética e implementado reforços adicionais de proteção em seus sistemas. O conglomerado controla marcas como Princess Cruises, Holland America Line, Cunard e Costa Cruises, operando dezenas de navios em diferentes mercados globais.
O caso reforça os riscos associados ao comprometimento de contas corporativas, uma das principais portas de entrada para ataques envolvendo phishing, roubo de credenciais, exfiltração de dados e extorsão digital.
