世界最大のクルーズ企業であるカーニバル・コーポレーションは、Have I Been Pwned(HIBP)が子会社の1つに関連するとされる750万件の固有のメールアドレスをフラグ付けした後、試練の時を迎えています。
HIBPによると、流出した記録は合計870万件で、カーニバル・コーポレーションの子会社であるホーランド・アメリカ・ラインが運営するマリナー・ソサエティ・ロイヤルティ・プログラムに関連しているようです。「ホーランド・アメリカが運営するマリナー・ソサエティ・ロイヤルティ・プログラムに関連していることを示すフィールドを含むデータ」だったと述べています。流出したデータには、氏名、生年月日、性別、メンバーシップステータスの詳細が含まれており、このような個人データは攻撃者が詐欺やフィッシングに容易に悪用できるものです。
HIBPによると、同社はセキュリティインシデントを認めていますが、現在のところその説明ははるかに限定的です。カーニバルは、侵害は単一のユーザーアカウントに対するフィッシング攻撃に関与していたと述べており、不正アクセスの範囲を理解するためにまだ取り組んでいると述べています。
しかし、他の場所で述べられているストーリーはそれとは異なります。データは常に活動的なShinyHunters恐喝グループによって公開されました。このグループは、同社との交渉が明らかに打ち切られた後、顧客データだけでなく「テラバイト単位の内部企業データ」を奪取したと主張しています。
「同社は私たちの信じられないほどの忍耐にもかかわらず、合意に達することができませんでした」と、The Registerが目撃したグループのリークサイトの投稿で述べられ、「彼らは気にしない」と付け加えています。
通常通りの疑いを持って主張を受け取ってください。ShinyHuntersは成功を大げさに描く傾向がありますが、HIBPによってフラグ付けされたデータの量と明らかな信頼性は、通常のリークサイトの見栄よりも実質的なものがある可能性があることを示唆しています。
The Registerはカーニバルに対し、数字が自社の調査と一致するかどうか、どのようなデータがアクセスされたか、身代金の要求があったかどうか、攻撃者がどのように侵入したかを確認するよう求めました。執筆時点では返答がありませんでした。
ShinyHuntersはこの種の侵入に慣れており、通常はフィッシング、盗まれたログイン、またはSaaSプラットフォームへの侵入を通じて足がかりを得た後、現金化できるものを探して掘り下げています。彼らの主張が正確であれば、これは単一の侵害されたインボックスをはるかに超えています。
これが抑制されたフィッシング事故なのか、それとも完全なデータ流出なのかはまだ明らかではありませんが、いずれにしても乗客は次の旅程よりもインボックスに、より注意を払う必要があるかもしれません。®
