クルーズ運航会社カーニバルは水曜日、ShinyHackersハッキンググループが関与を主張する4月のサイバー攻撃において、ハッカーがパスポートや運転免許証の情報を含む個人情報を窃取したことを確認した。
同社によると、脅威アクターは先月、従業員アカウントを侵害した後、ITシステムの一部に不正アクセスしたという。4月末までに、カーニバルは攻撃者がシステムから個人情報をコピーしていたと判断した。
窃取されたデータは個人によって異なるが、氏名、住所、メールアドレス、電話番号、生年月日、運転免許証番号、パスポート番号が含まれると同社は説明している。
カーニバルは被害者数を公表しなかった。しかし、メイン州司法長官事務所への届出によると、約600万人の情報が漏洩した可能性がある。
「私たちは不正アクティビティを遮断するために迅速に行動し、セキュリティをさらに強化し徹底的な調査を実施するため、直ちにサードパーティのセキュリティ専門家と協力を開始しました」と、カーニバルは声明で述べた。
世界最大のクルーズ運航会社の一つであるカーニバルは、プリンセス・クルーズ、ホーランド・アメリカ・ライン、キュナード、コスタ・クルーズなどのブランドを傘下に持つ。同社は世界中で90隻以上の船を運航し、毎年数百万人の旅客にサービスを提供している。
4月、ShinyHuntersはカーニバルの大量データを入手したと主張し、情報の公開を防ぐため同社を恐喝しようとした。このグループは最終的に、カーニバルのクルーズブランドの一つであるホーランド・アメリカ・ラインが運営するマリナー・ソサイエティ・ロイヤルティプログラムに関連するデータを含む870万件のレコードをリークサイトで公開したと称している。
当時、カーニバルは単一ユーザーアカウントに関与するフィッシング事件を認め、不正活動の範囲を調査していると述べていた。同社はこの攻撃をShinyHuntersに公式に帰属させていない。
「このような複雑なインシデントは、どの情報が影響を受け、誰のものかを把握し、通知が正確に処理されることを確認するために、時間と慎重な調査を要します」と、カーニバルは水曜日に述べ、侵害の公式確認に1か月かかった理由を説明した。
ShinyHuntersは、大規模組織を標的にした注目度の高いデータ窃取・恐喝キャンペーンで知られている。今年初め、FBIはShinyHuntersと関連するハッカーが、Salesforce環境への侵害を通じてデータを窃取した後、企業に多額の身代金を要求していると警告していた。このグループはまた、最近アナリティクス企業Mixpanelへの侵害についても責任を主張している。
2019年、カーニバルは従業員のメールアカウントに関わるデータ侵害を公表しており、約18万人の顧客と従業員の情報が漏洩した。規制当局はその後、この事件への対応をめぐりカーニバルに125万ドルの罰金を科した。また同社は2021年にも、少数のメールアカウントへの不正アクセスに関わる別の侵害を報告している。
翻訳元: https://therecord.media/cruise-giant-carnival-confirms-data-breach-affecting-6-million
