A operadora de cruzeiros Carnival confirmou que informações pessoais de clientes foram roubadas durante um ataque cibernético ocorrido em abril deste ano. O incidente teria resultado na exposição de dados sensíveis, incluindo números de passaporte e carteira de motorista, após invasores obterem acesso a parte do ambiente de TI da empresa por meio do comprometimento de uma conta corporativa de funcionário.

Segundo a companhia, a atividade maliciosa foi identificada no mês passado e, após uma investigação interna, foi constatado que os invasores conseguiram copiar informações armazenadas em seus sistemas. Os dados comprometidos variam de acordo com cada indivíduo afetado, mas incluem nomes completos, endereços residenciais, e-mails, números de telefone, datas de nascimento, números de passaporte e documentos de habilitação.

Embora a Carnival não tenha divulgado oficialmente o número de vítimas, documentos enviados ao gabinete do procurador-geral do estado do Maine, nos Estados Unidos, indicam que quase 6 milhões de pessoas podem ter tido seus dados expostos.

A empresa afirmou que agiu rapidamente para bloquear a atividade não autorizada e iniciou uma investigação com o apoio de especialistas externos em segurança cibernética. Paralelamente, medidas adicionais de proteção foram implementadas para reforçar a segurança dos ambientes afetados.

A Carnival é uma das maiores operadoras de cruzeiros do mundo e controla marcas conhecidas como Princess Cruises, Holland America Line, Cunard e Costa Cruises. O grupo opera mais de 90 navios e transporta milhões de passageiros anualmente em diversos mercados globais.

O ataque foi reivindicado pelo grupo ShinyHunters, conhecido por campanhas de roubo de dados e extorsão contra grandes organizações. Em abril, os operadores alegaram ter obtido uma grande quantidade de informações da Carnival e tentaram pressionar a empresa a realizar pagamentos para evitar a divulgação pública dos dados.

Posteriormente, o grupo publicou o que alegou serem 8,7 milhões de registros em seu portal de vazamentos. Entre os dados supostamente expostos estariam informações relacionadas ao programa de fidelidade Mariner Society, operado pela Holland America Line.

Na época da invasão, a Carnival reconheceu apenas um incidente de phishing envolvendo uma única conta de usuário e informou que estava investigando o alcance da atividade não autorizada. Apesar da reivindicação do ShinyHunters, a companhia não atribuiu oficialmente o ataque ao grupo.

De acordo com a empresa, a confirmação pública demorou cerca de um mês porque investigações dessa natureza exigem análises detalhadas para identificar exatamente quais informações foram comprometidas, quem foi impactado e quais obrigações regulatórias de notificação precisariam ser cumpridas.

O histórico do ShinyHunters inclui alguns dos maiores casos recentes de roubo de dados corporativos. No início deste ano, o FBI alertou que invasores associados ao grupo estavam exigindo pagamentos milionários após comprometer ambientes baseados em Salesforce e exfiltrar informações corporativas. Recentemente, o grupo também reivindicou responsabilidade por um incidente envolvendo a empresa de análise de dados Mixpanel.

A Carnival já enfrentou problemas semelhantes no passado. Em 2019, a empresa revelou um incidente envolvendo contas de e-mail corporativas que resultou na exposição de informações de aproximadamente 180 mil clientes e funcionários. Posteriormente, reguladores aplicaram uma multa de US$ 1,25 milhão relacionada à forma como o caso foi tratado. Em 2021, a companhia voltou a reportar outro incidente envolvendo acesso não autorizado a um número limitado de contas de e-mail.

O comprometimento de contas corporativas continua sendo uma das portas de entrada mais utilizadas por grupos de cibercrime. Ataques de phishing, roubo de credenciais e abuso de acessos legítimos frequentemente permitem que invasores contornem controles tradicionais de segurança, obtenham acesso a informações sensíveis e realizem operações de extorsão baseadas na divulgação de dados.