# Carnival Cruise Line erleidet umfangreiches Datenleck **Carnival Corporation**, ein wichtiger Akteur in der Kreuzfahrtbranche, hat ein Datenleck bestätigt, das erschreckende 5.995.277 Kunden betrifft. Das Leck, das am 10. April 2026 auftrat, war laut den Benachrichtigungen des Unternehmens das Ergebnis eines erfolgreichen Social-Engineering-Angriffs. ## Social-Engineering-Angriff führt zu Datendiebstahl Laut **Carnival** wurde ein Mitarbeiter durch Social Engineering getäuscht und gewährte unbefugten Zugriff auf einen Teil der IT-Systeme des Unternehmens. "Am 14. April 2026 identifizierte das IT-Sicherheitsteam des Unternehmens unbefugte Aktivitäten im Zusammenhang mit dem Konto eines Mitarbeiters. Ein unbefugter Akteur nutzte Social Engineering, um einen Mitarbeiter zu täuschen und Zugang zu einem begrenzten Teil des IT-Systems des Unternehmens zu erhalten", heißt es in den Benachrichtigungsschreiben von **Carnival** zu Datenlecks. Das Unternehmen gibt an, schnell gehandelt zu haben, um den Vorfall einzudämmen, und externe Sicherheitsexperten beauftragt zu haben, die Sicherheitsposition zu untersuchen und zu stärken. ## ShinyHunters übernimmt Verantwortung Obwohl **Carnival** den Angriff nicht offiziell zugeschrieben hat, hat die berüchtigte Cybercrime-Gruppe **ShinyHunters** die Verantwortung übernommen. Sie behaupten, über 8,7 Millionen Datensätze mit persönlich identifizierbaren Informationen (PII) und Terabytes an internen Unternehmensdaten gestohlen zu haben.  ## Details zu den exponierten Daten **Have I Been Pwned** analysierte die geleakten Daten und bestätigte, dass sie Namen, Geburtsdaten, E-Mail-Adressen, Geschlechter, geografische Standorte und Details zu Treueprogrammen enthalten. Die Daten scheinen mit dem Mariner Society Treueprogramm von **Holland America**, einer Tochtergesellschaft von **Carnival**, verknüpft zu sein. ## Aktuelle Aktivitäten von ShinyHunters **ShinyHunters** ist zunehmend aktiv, insbesondere bei der gezielten Ansprache von **Salesforce**-Kunden. Sie haben die Verantwortung für erhebliche Datendiebstähle übernommen, darunter die **Salesloft Drift**-Kampagne und die **Salesforce Aura**-Datendiebstahlangriffe. ## Ratschläge des FBI Das **FBI** hat Opfern von **ShinyHunters** geraten, keine Lösegeldforderungen zu bezahlen, und betont, dass die Zahlung weder die Rückgabe gestohlener Daten garantiert noch zukünftige Erpressungsversuche verhindert. ## Carnivals Geschichte von Sicherheitslücken Dies ist nicht das erste Mal, dass **Carnival Corporation** ins Visier genommen wurde. Das Unternehmen hat bereits im März 2020 und Juni 2021 frühere Datenlecks offengelegt, bei denen persönliche und finanzielle Informationen offengelegt wurden. Im August und Dezember 2020 führten auch Ransomware-Angriffe zum Diebstahl von Kunden- und Mitarbeiterdaten.