Carnival Corporation, крупнейший в мире круизный оператор, подтвердил масштабную утечку данных Carnival Cruises, затронувшую почти 6 миллионов пассажиров. Хакеры получили доступ к системам компании через социальную инженерию в апреле 2026 года. Группа киберпреступников ShinyHunters взяла ответственность на себя, похитив личные данные 5 995 277 человек - включая номера паспортов, водительских удостоверений и другую конфиденциальную информацию.
Один звонок открыл доступ к Salesforce
Атака началась 10 апреля 2026 года, когда злоумышленники использовали социальную инженерию для компрометации учётных данных сотрудника. Carnival выявила вторжение 14 апреля и начала расследование. За это время хакеры перемещались по системам, связанным с Salesforce, и похищали файлы с клиентскими данными за несколько лет бронирований.
Никаких технических уязвимостей эксплуатировано не было. ShinyHunters не понадобился эксплойт нулевого дня или сложное вредоносное ПО - достаточно было убедительного телефонного звонка. Этот метод, известный как вишинг (голосовой фишинг), стал фирменным приёмом группы в десятках атак на среды Salesforce в 2025-2026 годах.
Что было похищено в ходе утечки данных Carnival Cruises
Carnival подтвердила следующие категории данных, к которым был получен доступ (в зависимости от конкретного пассажира):
- Полные имена и физические адреса
- Адреса электронной почты и номера телефонов
- Даты рождения
- Номера паспортов
- Номера водительских удостоверений
ShinyHunters изначально заявляли о краже более 8,7 миллиона записей и терабайтов внутренних корпоративных данных. Официальная цифра Carnival составляет 5 995 277 пострадавших. В любом случае, сочетание номеров паспортов с датами рождения и адресами создаёт практически полный профиль личности - который невозможно аннулировать сменой пароля или отменой карты. Паспорта действуют 10 лет, и похищенные данные сохранят свою ценность всё это время.
Уведомления пришли через шесть недель после атаки
Carnival начала рассылать уведомления пострадавшим клиентам 27 мая 2026 года - через 47 дней после обнаружения утечки. Законы США об уведомлении об утечках данных, как правило, требуют уведомления в течение 30-60 дней с момента обнаружения, что ставит Carnival на грань законного соответствия. Задержка вызвала немедленную критику со стороны адвокатов по защите конфиденциальности и исследователей безопасности, отметивших, что жертвы почти семь недель не знали об угрозе своим документам.
В качестве ответной меры Carnival предлагает 24 месяца бесплатного кредитного мониторинга через TransUnion всем жителям США, чьи данные были скомпрометированы. Эксперты по безопасности указали, что кредитный мониторинг не защищает номера паспортов или водительских удостоверений - эти данные позволяют совершать мошенничество с личными данными, которое никакое кредитное оповещение не способно обнаружить или предотвратить.
Поданы три коллективных иска
В течение нескольких дней после публичного раскрытия информации в федеральных судах США были поданы три отдельных коллективных иска. В них утверждается, что Carnival не внедрила надлежащих мер безопасности для предотвращения атак социальной инженерии, хранила конфиденциальные документы в подключённых к интернету CRM-системах без достаточных оснований и слишком долго задержала уведомление клиентов.
Правовые аналитики ожидают, что это дело станет прецедентом для оценки судами ответственности туристических компаний перед пассажирами, чьи паспортные данные они собирают и хранят. Авиакомпании, круизные лайнеры, отели и компании по аренде автомобилей регулярно хранят удостоверения личности ещё долго после завершения поездки - и эта утечка, вероятно, ускорит судебные разбирательства и регуляторное давление с целью определения стандартов минимизации данных в туристической отрасли.
Эскалация кампании ShinyHunters против сред Salesforce
Утечка данных Carnival - часть более широкой кампании. В тот же период ShinyHunters применили идентичную тактику социальной инженерии для взлома Charter Communications, похитив данные 4,9 миллиона абонентов широкополосного интернета, и атаковали десятки других компаний, использующих Salesforce. Группа позиционировала себя как наиболее плодовитый актор по вымогательству данных в 2026 году, действуя путём поиска слабейшего человеческого звена в цепочке доступа компании.
Группы безопасности, реагирующие на эту волну атак, выявили три защитных меры, которые последовательно снижают риск: обязательная проверка обратным звонком перед предоставлением удалённого доступа, строгие политики минимальных привилегий в CRM-системах и обучение сотрудников с симуляцией сценариев вишинга.
Пассажиры, регулярно подключающиеся к корабельному Wi-Fi или публичным сетям во время путешествий, сталкиваются с дополнительным уровнем риска. Бортовые сети круизных лайнеров, общие для тысяч пассажиров, являются ценными целями для перехвата. Использование зашифрованного соединения в публичных или бортовых сетях Wi-Fi - простая превентивная мера, защищающая передаваемые данные, включая учётные данные, финансовую активность и переписку. Хотя это не может отменить раскрытие номеров паспортов, уже похищенных в ходе этой утечки, оно значительно снижает риски при будущих путешествиях.
