Carnival Corporation, der weltgroesste Kreuzfahrtbetreiber, hat eine massive Carnival Cruises Datenpanne bestatigt, von der fast 6 Millionen Passagiere betroffen sind. Hacker verschafften sich im April 2026 durch Social Engineering Zugang zu Mitarbeitersystemen. Die ShinyHunters-Cyberkriminalitatsgruppe ubernahm die Verantwortung und stahl personliche Daten von 5.995.277 Personen - darunter Reisepassnummern, Fuhrerscheindaten und andere sensible Informationen.
Ein Anruf offnete Salesforce
Die Datenpanne begann am 10. April 2026, als Angreifer Social Engineering einsetzten, um die Zugangsdaten eines Mitarbeiters zu kompromittieren. Carnival identifizierte den Einbruch am 14. April und leitete eine Untersuchung ein. In der Zwischenzeit navigierten die Hacker durch Salesforce-verbundene Systeme und extrahierten Dateien mit Kundendaten aus mehreren Jahren Kreuzfahrtbuchungen.
Es wurden keine technischen Schwachstellen ausgenutzt. ShinyHunters benotigten weder einen Zero-Day-Exploit noch ausgefeilte Malware - ein uberzeugender Telefonanruf reichte aus. Diese Methode, bekannt als Vishing (Voice-Phishing), ist zur Standardmethode der Gruppe bei Dutzenden von Angriffen auf Salesforce-Umgebungen in 2025 und 2026 geworden.
Was bei der Carnival Cruises Datenpanne gestohlen wurde
Carnival bestatige folgende Datenkategorien, auf die zugegriffen wurde (je nach Passagier unterschiedlich):
- Vollstandige Namen und physische Adressen
- E-Mail-Adressen und Telefonnummern
- Geburtsdaten
- Reisepassnummern
- Fuhrerscheinnummern
ShinyHunters behaupteten zunachst, uber 8,7 Millionen Datensatze und Terabytes interner Unternehmensdaten gestohlen zu haben. Carnivals offizielle Zahl liegt bei 5.995.277 betroffenen Personen. In jedem Fall schafft die Kombination aus Reisepassnummern, Geburtsdaten und Adressen ein nahezu vollstandiges Identittatsprofil - das sich nicht durch einen Passwortwechsel oder eine Kartensperrung ungeschehen machen lasst.
Benachrichtigungen kamen sechs Wochen nach dem Angriff
Carnival begann am 27. Mai 2026 mit dem Versand von Benachrichtigungsschreiben - 47 Tage nach der Entdeckung der Datenpanne. US-amerikanische Datenpannen-Benachrichtigungsgesetze verlangen in der Regel eine Benachrichtigung innerhalb von 30 bis 60 Tagen nach der Entdeckung, womit Carnival an der außersten Grenze der rechtlichen Konformitat liegt. Die Verzogerung loste sofortige Kritik aus.
Als Reaktion bietet Carnival allen US-Einwohnern 24 Monate kostenlosen Kredituberwachungsservice durch TransUnion an. Sicherheitsexperten wiesen darauf hin, dass die Kredituberwachung keine Reisepass- oder Fuhrerscheinnummern schutzt.
Drei Sammelklagen eingereicht
Innerhalb weniger Tage nach der offentlichen Bekanntmachung wurden drei separate Sammelklagen bei US-Bundesgerichten eingereicht. Die Klagen behaupten, dass Carnival keine adaquaten Sicherheitskontrollen implementiert hat, um Social-Engineering-Angriffe zu verhindern, sensible Reisedokumente ohne ausreichende Begrundung in mit dem Internet verbundenen CRM-Systemen speicherte und die Kundenbenachrichtigung unzumutbar lange verzogerte.
Rechtsanalysten erwarten, dass dieser Fall ein Prazedenzfall dafur wird, wie Gerichte die Sorgfaltspflicht von Reiseunternehmen gegenuber Passagieren bewerten, deren Passdaten sie sammeln und aufbewahren.
ShinyHunters' eskalierende Kampagne gegen Salesforce-Umgebungen
Die Carnival-Datenpanne ist Teil einer breiteren Kampagne. Im gleichen Zeitraum nutzten ShinyHunters identische Social-Engineering-Taktiken, um Charter Communications zu kompromittieren und stahlen Daten von 4,9 Millionen Breitbandabonnenten. Die Gruppe hat sich als der produktivste Datenerpressungsakteur des Jahres 2026 positioniert.
Sicherheitsteams haben drei Schutzmanahmen identifiziert, die das Risiko konsistent reduzieren: obligatorische Ruckrufverifizierung vor der Gewahrung von Fernzugang, strenge Least-Privilege-Zugriffsrichtlinien in CRM-Systemen und Mitarbeiterschulungen, die speziell Vishing-Szenarien simulieren.
Passagiere, die regelmaig WLAN an Bord oder in offentlichen Netzwerken nutzen, sind einem zusatzlichen Risiko ausgesetzt. Die gemeinsam genutzten Bord-WLAN-Netzwerke von Kreuzfahrtschiffen sind attraktive Angriffsziele. Die Verwendung einer verschlusselten Verbindung im offentlichen oder Bord-WLAN ist eine einfache Schutzmanahme, die Daten im Transit schutzt - auch wenn sie die bereits gestohlenen Passdaten nicht ungeschehen machen kann.
