Hackeri zo skupiny ShinyHunters skopírovali súbory Carnival Corporation s osobnými údajmi takmer šiestich miliónov zákazníkov, potvrdil prevádzkovateľ výletných lodí v hlásení podanom na úrade generálneho prokurátora štátu Maine. Spoločnosť začala dotknutých informovať až koncom mája, hoci k incidentu došlo v apríli.
Útočníci sa do systémov nedostali cez technickú zraniteľnosť, ale cez zamestnanca. Pomocou social engineeringu získali prístup k jeho prihlasovaciemu účtu a skopírovali firemné súbory von zo systémov. Carnival to podľa portálu BleepingComputer potvrdil. Žiadne systémy pritom neboli zašifrované, napísal server TECHBYTE.sk.
Uniknuté záznamy obsahujú mená, e-mailové adresy, dátumy narodenia, telefónne čísla aj čísla vládou vydaných dokladov. Platforma Have I Been Pwned pri analýze súboru identifikovala 7,5 milióna jedinečných e-mailových adries a celkovo 8,7 milióna záznamov. Carnival vo svojom hlásení uviedol nižšie číslo, necelých šesť miliónov dotknutých zákazníkov, a dodal, že rozsah ohrozených údajov nie je u každého rovnaký.
Vernostný program Holland America
Väčšina uniknutých dát pochádza z vernostného programu Mariner Society, ktorý prevádzkuje Holland America Line, dcérska firma Carnivalu. Have I Been Pwned potvrdzuje, že záznamy obsahujú okrem osobných údajov aj informácie o členstve a geografickú polohu. ShinyHunters medzitým pridali Carnival na svoju „pay or leak“ stránku a tvrdili, že ukradli 8,7 milióna záznamov spolu s terabajtmi interných firemných dát.
Americkým zákazníkom spoločnosť ponúka 24 mesiacov bezplatného monitoringu kreditného skóre cez službu TransUnion. Podľa portálu CyberInsider je to v porovnaní s predchádzajúcimi incidentmi relatívne rýchla reakcia. Pri úniku v roku 2020 trvalo takmer desať mesiacov, kým sa zákazníci dozvedeli, čo sa stalo. Tentokrát uplynul menej ako mesiac.
Štyri incidenty za tri roky
Carnival nie je v tejto pozícii prvýkrát. Medzi rokmi 2019 a 2021 firma potvrdila štyri samostatné bezpečnostné incidenty len na oddelení finančných služieb v New Yorku, vrátane ransomvérových útokov a phishingovej kampane, pri ktorej útočníci nasadili malvér, zašifrovali systémy a ukradli osobné údaje zákazníkov aj zamestnancov. Za incident z roku 2020 zaplatila spoločnosť v rámci kompenzácie 1,25 milióna dolárov. Podľa bezpečnostných expertov citovaných serverom SecurityWeek je aktuálny prípad druhým veľkým únikom dát Carnivalu v tomto desaťročí.
ShinyHunters sú aktívni od roku 2019. Len v roku 2020 prisvojili viac ako 200 miliónov záznamov z trinástich spoločností. Medzi ich obeťami sú Ticketmaster, AT&T aj indonézska platforma Tokopedia. Podľa bezpečnostnej databázy Malpedia sa skupina zameriava na krádež citlivých dát a využíva phishingové aj sociálno-inžinierske techniky. Napriek viacerým zatykačom a konkrétnym zatknutiam funguje pod pôvodnou značkou naďalej. V posledných dvoch rokoch začala pri útokoch častejšie využívať vishing, teda phishing cez telefonáty.
Odporúčania pre zákazníkov
Zákazníci, ktorí dostali výstražnú správu od Carnivalu, by mali sledovať pohyby na bankových účtoch a kreditných kartách. Zmena hesiel je nevyhnutná všade, kde používajú rovnaké prihlasovacie údaje ako pri Carnivale. Zvýšená ostražitosť voči phishingovým e-mailom a podvodným telefonátom platí o to viac, že ShinyHunters vishing aktívne využívajú. Šesť miliónov dotknutých osôb predstavuje podľa expertov dlhodobé riziko krádeže identity, nie len jednorazový bezpečnostný problém.
Za incident z roku 2020 zaplatil Carnival 1,25 milióna dolárov. Koľko bude stáť tento, zatiaľ nezverejnil.
