Carnival Cruise confirms data breach affecting nearly 6 million people

Violation de données massive chez Carnival Cruise : 6 millions de personnes touchées

Carnival Corporation, le leader mondial des croisières, a confirmé qu’une intrusion informatique survenue le 10 avril 2026 a entraîné le vol de données personnelles concernant près de 6 millions de clients. Le groupe de cybercriminels ShinyHunters a revendiqué l’attaque.

Points clés :

• Vecteur d’attaque : Ingénierie sociale visant un employé, permettant aux attaquants d’accéder à une partie du système informatique de l’entreprise.
• Données compromises : Noms, dates de naissance, adresses e-mail, genres, localisations géographiques et détails relatifs aux programmes de fidélité (notamment le Mariner Society).
• Historique : Il s’agit d’une récidive pour Carnival, déjà victime de multiples incidents de sécurité et attaques par rançongiciel entre 2020 et 2021.

Vulnérabilités :

• L’attaque n’a pas exploité une vulnérabilité logicielle spécifique (CVE), mais une faille humaine : la vulnérabilité aux techniques d’ingénierie sociale (phishing ou manipulation psychologique). Cela souligne une faiblesse persistante dans la sensibilisation et la protection des accès privilégiés des employés.

Recommandations :

• Renforcement de l’authentification : Implémenter systématiquement l’authentification multifacteur (MFA) résistante au phishing pour tous les accès au réseau.
• Formation des employés : Intensifier les programmes de sensibilisation à la cybersécurité pour permettre au personnel de détecter et de signaler les tentatives d’ingénierie sociale.
• Gestion des accès : Appliquer strictement le principe du moindre privilège afin de limiter les dégâts en cas de compromission d’un compte utilisateur.
• Suivi des recommandations du FBI : Ne pas céder aux demandes de rançon, le paiement ne garantissant ni la suppression des données volées ni l’arrêt des extorsions futures.

Source