Carnival Corporation, il piu grande operatore di crociere al mondo, ha confermato una massiccia violazione dei dati di Carnival Cruises che ha coinvolto quasi 6 milioni di passeggeri, dopo che hacker hanno avuto accesso ai sistemi aziendali tramite social engineering nell'aprile 2026. Il gruppo di cybercriminali ShinyHunters ha rivendicato la responsabilita, sottraendo dati personali di 5.995.277 persone, inclusi numeri di passaporto, patenti di guida e altre informazioni sensibili.
Una sola telefonata ha aperto Salesforce
La violazione e iniziata il 10 aprile 2026, quando gli aggressori hanno utilizzato il social engineering per compromettere le credenziali di un dipendente. Carnival ha identificato l'intrusione il 14 aprile e ha avviato un'indagine. Nel frattempo, gli hacker hanno navigato nei sistemi connessi a Salesforce ed esfiltrato file con i dati dei clienti relativi a diversi anni di prenotazioni di crociere.
Non sono state sfruttate vulnerabilita tecniche. ShinyHunters non avevano bisogno di un exploit zero-day ne di malware sofisticato: una telefonata convincente e bastata. Questa tecnica, nota come vishing (phishing vocale), e diventata il metodo caratteristico del gruppo in dozzine di attacchi contro ambienti Salesforce nel 2025 e 2026.
Cosa e stato rubato nella violazione Carnival Cruises
Carnival ha confermato le seguenti categorie di dati a cui e stato effettuato l'accesso (variabili per passeggero):
- Nomi completi e indirizzi fisici
- Indirizzi e-mail e numeri di telefono
- Date di nascita
- Numeri di passaporto
- Numeri di patente di guida
ShinyHunters hanno inizialmente affermato di aver rubato oltre 8,7 milioni di record e terabyte di dati aziendali interni. Il conteggio ufficiale di Carnival e di 5.995.277 individui colpiti. La combinazione di numeri di passaporto con date di nascita e indirizzi crea un profilo d'identita quasi completo, che non puo essere annullato con il cambio di una password.
Le notifiche sono arrivate sei settimane dopo l'attacco
Carnival ha iniziato a inviare lettere di notifica il 27 maggio 2026, 47 giorni dopo la scoperta della violazione. Le leggi statunitensi sulla notifica delle violazioni dei dati richiedono generalmente la notifica entro 30-60 giorni dalla scoperta, collocando Carnival al limite estremo della conformita legale.
Come risposta, Carnival offre 24 mesi di monitoraggio del credito gratuito tramite TransUnion a tutti i residenti statunitensi i cui dati sono stati compromessi. Gli esperti di sicurezza hanno sottolineato che il monitoraggio del credito non protegge i numeri di passaporto o di patente.
Tre class action depositate
Nei giorni successivi alla divulgazione pubblica, sono state depositate tre class action separate presso i tribunali federali statunitensi. Le denunce sostengono che Carnival non ha implementato controlli di sicurezza adeguati per prevenire gli attacchi di social engineering, ha archiviato documenti di viaggio sensibili in sistemi CRM connessi a Internet e ha ritardato la notifica ai clienti per un periodo irragionevolmente lungo.
La campagna crescente di ShinyHunters contro gli ambienti Salesforce
La violazione di Carnival fa parte di una campagna piu ampia. Nello stesso periodo, ShinyHunters hanno utilizzato tattiche di social engineering identiche per compromettere Charter Communications, sottraendo dati di 4,9 milioni di abbonati a banda larga. Il gruppo si e posizionato come l'attore di estorsione di dati piu prolifico del 2026.
I team di sicurezza hanno identificato tre misure difensive che riducono costantemente il rischio: verifica obbligatoria tramite richiamata prima di concedere qualsiasi accesso remoto, rigide politiche di minimo privilegio nei sistemi CRM e formazione dei dipendenti che simula specificamente scenari di vishing.
I passeggeri che si connettono regolarmente al Wi-Fi della nave o alle reti pubbliche durante i viaggi affrontano un rischio aggiuntivo. Le reti Wi-Fi di bordo delle navi da crociera, condivise tra migliaia di passeggeri, sono obiettivi di alto valore. Usare una connessione cifrata sul Wi-Fi pubblico o di bordo e una misura preventiva semplice che protegge i dati in transito.
