- カーニバルは4月のランサムウェア攻撃が5,995,277人に影響を与えたことを確認
- 盗まれたデータには氏名、生年月日、性別、会員情報が含まれる
- 身代金交渉が決裂した後、ShinyHuntersがデータを流出
世界最大のクルーズ会社であるカーニバル・コーポレーションは、4月のランサムウェア攻撃による被害者への通知を開始したと発表し、被害者数を600万人弱と特定しました。
今年4月下旬、同社はサプライチェーン攻撃を受け、数百万人の顧客の機密データが流出したことを確認しました。世界最大のクルーズ会社として、カーニバルはホーランド・アメリカ・ラインを含む複数のブランドを運営しています。悪名高いShinyHuntersグループに攻撃を受けたのはこの子会社で、同グループはデータリークサイトに掲載し、870万件のレコードを入手したと主張しています。
盗まれたデータには氏名、生年月日、性別、会員ステータスの詳細が含まれており、Have I Been Pwned?は後に約750万件のメールアドレスも流出していたと追加しました。
フィッシングによる認証情報の窃取
現在、同社はメイン州司法長官室に新たな報告書を提出し、影響を受けた個人に送付されている通知書のサンプルを共有するとともに、被害者数を正確に5,995,277人と報告しました。
通知書の中でカーニバルは、ハッカーが従業員をソーシャルエンジニアリングで騙し、「同社のITシステムの一部」へのアクセスを共有させた後、4月14日に攻撃が発生したと述べています。また、潜在的な被害を軽減するため、TransUnionの信用監視サービスの24ヶ月間の無料会員権を提供すると発表しました。
ShinyHuntersは交渉が決裂したとして、侵害直後にダークウェブ上でカーニバルのデータを流出させました。「我々の並外れた忍耐にもかかわらず、同社は合意に達することができなかった」とグループは述べたとされています。「彼らは気にしていない。」
ShinyHuntersは一度に、Mytheresa、Zara、7-Eleven、ピツニー・ボウズ、そしてカーニバルを含む約40の組織のデータを公開しました。
「カーニバル・コーポレーションは、お客様の情報のプライバシーとセキュリティを真剣に考えています」と同社は通知書の中で強調しました。「この事態とそれによってご心配をおかけすることを、深くお詫び申し上げます。」
