A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou um massivo vazamento de dados da Carnival Cruises que afetou quase 6 milhoes de passageiros, apos hackers terem acessado sistemas de funcionarios por meio de engenharia social em abril de 2026. O grupo cibercriminoso ShinyHunters reivindicou a responsabilidade, roubando dados pessoais de 5.995.277 individuos, incluindo numeros de passaporte, carteiras de motorista e outras informacoes sensiveis.
Uma unica ligacao abriu o Salesforce
A violacao comecou em 10 de abril de 2026, quando atacantes usaram engenharia social para comprometer as credenciais de um funcionario. A Carnival identificou a intrusao em 14 de abril e iniciou uma investigacao. Nesse interim, os hackers navegaram pelos sistemas conectados ao Salesforce e exfiltraram arquivos com registros de clientes de varios anos de reservas de cruzeiros.
Nenhuma vulnerabilidade tecnica foi explorada. O ShinyHunters nao precisou de um exploit zero-day nem de malware sofisticado: uma ligacao convincente foi suficiente. Essa tatica, conhecida como vishing (phishing por voz), tornou-se o metodo assinatura do grupo em dezenas de ataques a ambientes Salesforce em 2025 e 2026.
O que foi roubado no vazamento de dados da Carnival Cruises
A Carnival confirmou as seguintes categorias de dados acessados (variando por passageiro):
- Nomes completos e enderecos fisicos
- Enderecos de e-mail e numeros de telefone
- Datas de nascimento
- Numeros de passaporte
- Numeros de carteira de motorista
O ShinyHunters afirmou inicialmente ter roubado mais de 8,7 milhoes de registros e terabytes de dados corporativos internos. O numero oficial da Carnival e de 5.995.277 pessoas afetadas. A combinacao de numeros de passaporte com datas de nascimento e enderecos cria um perfil de identidade quase completo, que nao pode ser desfeito com a mudanca de senha.
Notificacoes chegaram seis semanas apos o ataque
A Carnival comecou a enviar cartas de notificacao em 27 de maio de 2026, 47 dias apos a deteccao da violacao. As leis de notificacao de violacao de dados nos EUA geralmente exigem notificacao dentro de 30 a 60 dias a partir da descoberta, colocando a Carnival no limite extremo da conformidade legal.
Como resposta, a Carnival oferece 24 meses de monitoramento de credito gratuito pela TransUnion a todos os residentes dos EUA cujos dados foram comprometidos. Especialistas em seguranca apontaram que o monitoramento de credito nao protege numeros de passaporte ou carteira de motorista.
Tres acoes coletivas propostas
Nos dias seguintes a divulgacao publica, tres acoes coletivas separadas foram propostas em tribunais federais dos EUA. As queixas alegam que a Carnival nao implementou controles de seguranca adequados para prevenir ataques de engenharia social, armazenou documentos de viagem sensiveis em sistemas CRM conectados a Internet sem justificativa suficiente e atrasou a notificacao dos clientes por um periodo irrazoavelmente longo.
A campanha crescente do ShinyHunters contra ambientes Salesforce
A violacao da Carnival faz parte de uma campanha mais ampla. No mesmo periodo, o ShinyHunters usou taticas identicas de engenharia social para comprometer a Charter Communications, roubando registros de 4,9 milhoes de assinantes de banda larga. O grupo se posicionou como o ator de extorsao de dados mais prolifico de 2026.
Equipes de seguranca identificaram tres medidas defensivas que reduzem consistentemente o risco: verificacao obrigatoria por retorno de chamada antes de conceder qualquer acesso remoto, politicas estritas de minimo privilegio em sistemas CRM e treinamento de funcionarios que simule especificamente cenarios de vishing.
Passageiros que se conectam regularmente ao Wi-Fi do navio ou a redes publicas durante as viagens enfrentam um risco adicional. As redes Wi-Fi a bordo dos navios de cruzeiro, compartilhadas entre milhares de passageiros, sao alvos de alto valor. Usar uma conexao criptografada no Wi-Fi publico ou a bordo e uma medida preventiva simples que protege os dados em transito.
