## Carnival bestätigt massives Datenleck **Carnival**, einer der weltweit größten Kreuzfahrtanbieter, gab am Mittwoch bekannt, dass Hacker erfolgreich persönliche Informationen aus seinen Systemen gestohlen haben, nachdem im April ein Mitarbeiterkonto kompromittiert wurde. Das Leck, das der Hacker-Gruppe **ShinyHunters** zugeschrieben wird, hat potenziell die Daten von fast 6 Millionen Personen offengelegt. Laut **Carnival** erhielten die Bedrohungsakteure Zugang zu einem begrenzten Teil ihrer IT-Umgebung und kopierten persönliche Informationen. Die gestohlenen Daten umfassen: * Namen * Adressen * E-Mail-Adressen * Telefonnummern * Geburtsdaten * Führerscheinnummern * Reisepassnummern Das Unternehmen reichte eine Mitteilung beim Generalstaatsanwalt von Maine ein, die den Umfang des Lecks angibt. ## ShinyHunters' Erpressungsversuch Im April behauptete **ShinyHunters**, eine große Menge an **Carnival**-Daten exfiltriert und versucht zu haben, das Unternehmen zu erpressen, um die Veröffentlichung zu verhindern. Die Gruppe veröffentlichte schließlich auf ihrer Leak-Seite, was sie als 8,7 Millionen Datensätze bezeichnete, darunter Daten, die angeblich mit dem Treueprogramm Mariner Society verbunden sind, das von **Holland America Line** betrieben wird, einer der Kreuzfahrtmarken von **Carnival**. **Carnival** räumte zu diesem Zeitpunkt einen Phishing-Vorfall mit einem einzelnen Benutzerkonto ein und erklärte, dass sie das Ausmaß der unbefugten Aktivitäten untersuchen würden. Das Unternehmen hat jedoch in seinen öffentlichen Erklärungen den Angriff nicht explizit **ShinyHunters** zugeschrieben. ## Carnivals Reaktion und Geschichte von Lecks **Carnival** gab an, umgehend gehandelt zu haben, um die unbefugte Aktivität zu blockieren, und arbeitet mit externen Sicherheitsexperten zusammen, um seine Sicherheitslage zu stärken und eine gründliche Untersuchung durchzuführen. Dies ist nicht Carnivals erste Begegnung mit Datenlecks. Im Jahr 2019 gab das Unternehmen ein Leck bekannt, das Mitarbeiter-E-Mail-Konten betraf und Informationen von rund 180.000 Kunden und Mitarbeitern offengelegt hatte. Regulierungsbehörden verhängten später eine Geldstrafe von 1,25 Millionen US-Dollar gegen **Carnival** wegen des Umgangs mit dem Vorfall. Ein weiteres Leck wurde 2021 gemeldet, das den unbefugten Zugriff auf eine begrenzte Anzahl von E-Mail-Konten betraf. ## Ruf von ShinyHunters **ShinyHunters** ist eine bekannte Hacker-Gruppe, die für hochkarätige Datendiebstahl- und Erpressungskampagnen gegen große Organisationen berüchtigt ist. Das **FBI** gab Anfang dieses Jahres eine Warnung heraus, dass Hacker, die mit **ShinyHunters** in Verbindung gebracht werden, von Unternehmen erhebliche Lösegeldzahlungen fordern, nachdem sie Daten durch Kompromittierungen von **Salesforce**-Umgebungen gestohlen hatten. Die Gruppe hat kürzlich auch die Verantwortung für ein Leck beim Analyseunternehmen **Mixpanel** übernommen.