## Carnival confirme une violation de données massive **Carnival**, l'un des plus grands opérateurs de croisières au monde, a révélé mercredi que des pirates avaient réussi à voler des informations personnelles de ses systèmes après avoir compromis un compte d'employé en avril. La violation, attribuée au groupe de pirates **ShinyHunters**, a potentiellement exposé les données de près de 6 millions d'individus. Selon **Carnival**, les acteurs de la menace ont eu accès à une partie limitée de leur environnement informatique et ont copié des informations personnelles. Les données volées comprennent : * Noms * Adresses * Adresses e-mail * Numéros de téléphone * Dates de naissance * Numéros de permis de conduire * Numéros de passeport L'entreprise a déposé un avis auprès du bureau du procureur général du Maine, indiquant l'étendue de la violation. ## Tentative d'extorsion de ShinyHunters En avril, **ShinyHunters** a affirmé avoir exfiltré un grand volume de données de **Carnival** et a tenté d'extorquer l'entreprise pour empêcher leur publication. Le groupe a finalement publié ce qu'il prétendait être 8,7 millions d'enregistrements sur son site de fuite, y compris des données prétendument liées au programme de fidélité Mariner Society exploité par **Holland America Line**, l'une des marques de croisières de **Carnival**. **Carnival** a reconnu un incident de phishing impliquant un seul compte utilisateur à l'époque et a déclaré qu'ils enquêtaient sur l'étendue de l'activité non autorisée. Cependant, l'entreprise n'a pas explicitement attribué l'attaque à **ShinyHunters** dans ses déclarations publiques. ## Réponse de Carnival et historique des violations **Carnival** a déclaré avoir agi rapidement pour bloquer l'activité non autorisée et travaille avec des experts en sécurité tiers pour renforcer sa posture de sécurité et mener une enquête approfondie. Ce n'est pas la première fois que **Carnival** est confronté à des violations de données. En 2019, l'entreprise a révélé une violation impliquant des comptes de messagerie d'employés qui avait exposé des informations appartenant à environ 180 000 clients et employés. Les régulateurs ont ensuite infligé une amende de 1,25 million de dollars à **Carnival** pour sa gestion de l'incident. Une autre violation a été signalée en 2021, impliquant un accès non autorisé à un nombre limité de comptes de messagerie. ## Réputation de ShinyHunters **ShinyHunters** est un groupe de pirates bien connu, tristement célèbre pour ses campagnes de vol de données et d'extorsion de haut profil ciblant de grandes organisations. Le **FBI** a émis un avertissement plus tôt cette année concernant des pirates liés à **ShinyHunters** exigeant des paiements de rançon substantiels aux entreprises après avoir volé des données par le biais de compromissions impliquant des environnements **Salesforce**. Le groupe a également récemment revendiqué la responsabilité d'une violation chez la société d'analyse **Mixpanel**.