嘉年华集团,全球最大的邮轮运营商,在周三开始向近600万客户发送通知:你们的个人信息被偷了。
这家拥有16万员工、2024年服务了约1350万游客的巨头,旗下运营着九大邮轮品牌(嘉年华邮轮、歌诗达、P&O澳大利亚、P&O邮轮、公主邮轮、荷美邮轮、AIDA、冠达和世鹏),还有一家旅游公司(荷美公主阿拉斯加旅游)。去年营收超过260亿美元。但一场社会工程攻击,让它的安全防线被撕开了一个口子。
事情要从4月10日说起。攻击者用社会工程手段骗过了一名员工,拿到了公司IT系统的部分访问权限。四天后,也就是4月14日,嘉年华的安全团队发现了这个员工账户的异常活动。公司迅速采取行动,阻断未授权访问,并请来第三方安全专家做深入调查。到4月22日,调查结论出来:攻击者已经非法复制了个人信息。
嘉年华在发给受影响用户的通报里写得很清楚:"2026年4月14日,公司IT安全团队发现涉及一名员工账户的未授权活动。未授权人员利用社会工程手段欺骗员工,获取了公司IT系统的有限访问权限。"
虽然嘉年华没有公开把这次攻击归因给谁,但ShinyHunters这个网络犯罪团伙在4月份就跳出来认领了。他们声称从嘉年华内部系统里弄走了超过870万条包含个人身份信息的记录,还有数TB的企业内部数据。
数据泄露通报服务Have I Been Pwned对ShinyHunters泄露的数据做了分析,发现被曝光的信息包括姓名、出生日期、电子邮箱、性别、地理位置,还有忠诚度计划的详细资料。这些数据关联的是荷美邮轮运营的"水手协会"忠诚度计划,里面记录了会员姓名、生日、性别以及在会员体系里的相关状态信息。
过去一年,ShinyHunters一直在盯着Salesforce的客户下手。全球有数百家公司被他们搞过,这个团伙还宣称在Salesloft Drift活动和Salesforce Aura数据窃取攻击中偷走了数十亿条记录。
FBI两周前向ShinyHunters的受害者们发出了建议:别付赎金。他们之前的警告说得很直白——付了钱,也不能保证攻击者不会再来勒索你第二次,或者把偷来的数据转手卖给其他网络犯罪分子。
嘉年华集团在2020年3月就公开过其他数据泄露事件。这次近600万人的数据外泄,规模显然不小。而当BleepingComputer去找嘉年华发言人确认ShinyHunters的说法、以及被盗数据的具体细节时,对方没有回应。
热门跟贴