Carnival Corporation, le premier opérateur mondial de croisières, a confirmé une fuite de données qui touche près de six millions de personnes. Cette intrusion, revendiquée en avril 2026 par le groupe d’extorsion ShinyHunters, a été officialisée par l’entreprise.
Le géant des mers, qui emploie plus de 160 000 personnes et a transporté environ 13,5 millions de passagers en 2024 avec une flotte de plus de 90 navires, a envoyé des notifications à 5 995 277 clients concernés. L’attaque, qui a eu lieu le 10 avril, a débuté par une opération d’ingénierie sociale qui a trompé un employé et permis un accès non autorisé à une partie limitée des systèmes informatiques.
Carnival, qui gère neuf grandes marques de croisières comme Carnival Cruise Line, Costa ou Princess Cruises, a déclaré avoir identifié l’activité malveillante le 14 avril et bloqué l’accès. Une enquête approfondie, menée avec des experts en sécurité externes, a ensuite permis de déterminer le 22 avril que des données personnelles avaient été copiées illégalement.
Carnival sur le site de fuite de ShinyHunters (BleepingComputer)
Le groupe ShinyHunters avait revendiqué cette intrusion en avril, affirmant avoir volé des documents contenant plus de 8,7 millions d’enregistrements avec des informations personnelles, ainsi que plusieurs téraoctets de données internes. Une analyse du service Have I Been Pwned, qui a examiné les données publiées par les pirates, indique que les informations exposées comprennent les noms, dates de naissance, adresses e-mail, genres, localisations géographiques et détails du programme de fidélité Mariner Society de la marque Holland America.
Ces derniers mois, ShinyHunters a multiplié les campagnes de piratage, ciblant en particulier les clients de Salesforce. Le FBI a récemment mis en garde les victimes de ce groupe, en leur conseillant de ne pas payer les rançons demandées, car cela ne garantit pas que les données ne seront pas revendues ou que de nouvelles tentatives d’extorsion n’auront pas lieu.
Ce n’est pas la première fois que Carnival Corporation subit une telle attaque. La société avait déjà signalé des violations de données en mars 2020 et juin 2021, après des accès non autorisés aux comptes e-mail d’employés. Des gangs de rançongiciels avaient aussi dérobé des informations personnelles de clients et de salariés en août et décembre 2020.