Ein massiver Cyberangriff auf den Kreuzfahrtriesen Carnival Corporation hat die persönlichen Daten von knapp sechs Millionen Kunden kompromittiert. Der Konzern bestätigte den Vorfall Ende Mai – die Angreifer hatten sich bereits im April Zugang zu den IT-Systemen verschafft.
Soziale Manipulation als Einfallstor
Der aktuelle Datendiebstahl zeigt erneut, wie perfide Hacker psychologische Tricks nutzen, um an sensible Informationen zu gelangen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie sich und Ihr Unternehmen wirksam vor solchen Manipulationen schützen können. 7 psychologische Schwachstellen jetzt entlarven
Der Sicherheitsvorfall begann Mitte April mit einer sogenannten Social-Engineering-Attacke. Die unbefugten Täter verschafften sich Zugang zu den Systemen des Unternehmens und kopierten über mehrere Tage hinweg große Mengen an Kundendaten. Insgesamt sind 5.995.277 Personen betroffen.
Die gestohlenen Daten variieren je nach betroffenem Kunden, umfassen aber in der Regel Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht und Aufenthaltsorte. Auch Informationen über das Treueprogramm Mariner Society wurden abgegriffen. Besonders brisant: Nach Einschätzung von Sicherheitsexperten gelangten die Angreifer auch an sensible Daten wie Telefonnummern, Adressen sowie Pass- und Führerscheininformationen.
Hacker-Gruppe ShinyHunters bekennt sich
Die berüchtigte Hackergruppe ShinyHunters hat die Verantwortung für den Angriff übernommen. Während Carnival von knapp sechs Millionen Betroffenen spricht, behauptet die Gruppe, 8,7 Millionen Datensätze erbeutet zu haben – darunter rund 7,5 Millionen individuelle E-Mail-Adressen.
Die gestohlenen Daten sind nach Warnungen von Sicherheitsanalysten hochgradig gefährlich. Sie könnten für gezielte Phishing-Kampagnen, Identitätsdiebstahl und Betrug gegen die betroffenen Kreuzfahrtpassagiere genutzt werden.
Maßnahmen und Ermittlungen
Nach der Entdeckung des Einbruchs engagierte Carnival externe Cybersicherheitsexperten, um die Systeme zu sichern und das Ausmaß des Angriffs zu untersuchen. Das Unternehmen hat begonnen, betroffene Kunden zu informieren und bietet 24 Monate Kreditüberwachung sowie Identitätswiederherstellungsdienste über Anbieter wie TransUnion und Cyberscout an.
Auch das FBI ist in die Ermittlungen eingebunden. Die Behörden haben dem Konzern Berichten zufolge davon abgeraten, Lösegeld an die Erpresser zu zahlen.
Festnahme im Fall Ajax-Datenleck
In einer separaten Entwicklung Ende Mai nahm die niederländische Polizei einen 35-jährigen Mann aus der Gemeinde Buren fest. Er steht im Zusammenhang mit einem Cyberangriff auf den Fußballclub AFC Ajax in Amsterdam. Bei diesem Vorfall wurden Daten von mehr als 300.000 registrierten Fans gestohlen.
Immer mehr Organisationen werden Opfer von massiven Cyberangriffen, die oft weitreichende rechtliche und finanzielle Folgen haben. Ein proaktiver Schutz durch aktuelle Bedrohungsanalysen hilft Ihnen, Sicherheitslücken zu schließen, bevor Kriminelle sie ausnutzen können. Kostenloses E-Book zum Schutz vor Cyberangriffen sichern
Der Verdächtige soll Sicherheitslücken in der mobilen App und der Website des Clubs ausgenutzt haben. Dabei griff er gezielt auf exponierte Programmierschnittstellen (APIs) und gemeinsame Zugangsschlüssel zu. Die kompromittierte Datenbank enthielt Informationen über 42.000 Dauerkarteninhaber sowie sensible Daten von 538 Personen, gegen die aktuell Stadionverbote bestehen. Der Club hat die technischen Schwachstellen inzwischen behoben und Strafanzeige erstattet.
Kritische Sicherheitslücken bei Microsoft und Fortinet
Parallel zu diesen Vorfällen warnten Cybersicherheitsbehörden Ende Mai vor mehreren kritischen Schwachstellen, die derzeit aktiv ausgenutzt werden. Die indische Behörde CERT-In stufte mehrere Microsoft-Dienste als hochriskant ein, darunter Microsoft 365 Copilot, Azure und Entra ID. Die Schwachstellen beruhen auf schwacher Authentifizierung und unzureichender Eingabevalidierung – sie könnten eine Remote-Code-Ausführung oder unbefugten Datenzugriff ermöglichen.
Zudem wird eine kritische Sicherheitslücke in FortiClient EMS (CVE-2026-35616) von Angreifern genutzt, um die Schadsoftware EKZ Infostealer zu verbreiten. Diese Malware ist darauf spezialisiert, Browser-Anmeldedaten, Cookies und Kreditkarteninformationen von verwalteten Endgeräten zu stehlen. Sicherheitsfirmen beobachteten, dass Angreifer die API-Authentifizierung umgehen, um die Malware zu installieren. Organisationen werden dringend aufgefordert, verfügbare Sicherheitsupdates einzuspielen.
