Der weltgrößte Kreuzfahrtkonzern Carnival ist Opfer einer Cyberattacke geworden. Fast sechs Millionen Kundendaten wurden gestohlen.
Die Angreifer verschafften sich Mitte April durch sogenanntes Social Engineering Zugang zu den Systemen des Unternehmens. Dabei täuschten sie Mitarbeiter, um an vertrauliche Informationen zu gelangen. Wie aus einer Meldung an die US-Aufsichtsbehörden hervorgeht, sind insgesamt 5.995.277 Personen betroffen.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Anti-Phishing-Paket jetzt kostenlos herunterladen
Gestohlene Daten: Von Namen bis zu Reisepässen
Die Täter erbeuteten eine breite Palette persönlicher Daten. Dazu gehören Namen, Adressen, E-Mail-Adressen, Telefonnummern und Geburtsdaten. Besonders brisant: Bei einem Teil der Passagiere wurden auch Ausweis- und Reisepassnummern gestohlen.
Die Hackergruppe ShinyHunters hat sich zu dem Angriff bekannt. Carnival weigerte sich Berichten zufolge, ein Lösegeld zu zahlen. Seit dem 27. Mai werden die betroffenen Kunden informiert. Für US-Kunden bietet der Konzern eine zweijährige kostenlose Kreditüberwachung über TransUnion an.
Kein Einzelfall: Carnivals wiederkehrende Sicherheitsprobleme
Der Kreuzfahrtriese hat bereits eine problematische Vergangenheit in Sachen Cybersicherheit. Schon 2019 und 2021 gab es Vorfälle, die zu Millionenstrafen führten. Damals monierten die Aufsichtsbehörden unzureichende Sicherheitsmaßnahmen und fehlende Zwei-Faktor-Authentifizierung.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis Cyber-Security-Report sichern
ShinyHunters: Eine Gruppe auf Beutezug
Die Hackergruppe hat in den vergangenen Monaten weitere große Unternehmen attackiert. Im April erbeuteten sie Daten von 4,9 Millionen Kunden des US-Kabelanbieters Charter Communications (Spectrum) . Der Angriff erfolgte über einen externen Dienstleister. Gestohlen wurden Namen, Kontaktdaten und Kontoinformationen – allerdings keine Sozialversicherungsnummern oder Kreditkartendaten.
Auch der Krankenversicherer DentaQuest wurde zum Ziel. Nachdem eine Lösegeldfrist am 27. Mai verstrichen war, veröffentlichte die Gruppe 233 Gigabyte gestohlener Daten. Darunter: Namen, Sozialversicherungsnummern und Behandlungsunterlagen von Millionen Medicaid-Versicherten. Das Unternehmen muss bis Ende Juli mit den Gesundheitsbehörden klären, wie es zu dem Datenschutzverstoß kommen konnte.
Meta schließt Sicherheitslücke bei KI-Chatbot
Parallel zu den Angriffen auf Unternehmen wurde eine kritische Sicherheitslücke bei Meta geschlossen. Der Fehler im KI-gestützten Support-Chatbot war seit Februar aktiv und wurde am 29. Mai behoben.
Hacker nutzten sogenannte Prompt-Injection-Techniken, um den Chatbot auszutricksen. Sie brachten ihn dazu, E-Mail-Adressen zu ändern und Passwörter für Instagram-Konten zurückzusetzen. Betroffen waren unter anderem der Account des ehemaligen US-Präsidenten Barack Obama und ein Konto der Space Force. Konten mit aktivierter Zwei-Faktor-Authentifizierung blieben sicher.
Indische Justiz schreitet gegen Ransomware-Gruppe ein
In Indien hat der Bombay High Court am 1. Juni Maßnahmen gegen die Hackergruppe Morpheus ergriffen. Die Gruppe soll 680 Gigabyte Daten von HDFC AMC, einem großen Vermögensverwalter, gestohlen haben. Der Vorfall wurde am 16. Mai entdeckt.
Die gestohlenen Daten betreffen Millionen indischer Anleger. Sie enthalten Namen, Ausweisdokumente, Bankkontonummern und detaillierte Anlageinformationen. Das Gericht ordnete an, dass die indische Regierung die Löschung der Daten von den Plattformen der Gruppe sicherstellen muss. Eine Anhörung zum Fortgang der Ermittlungen ist für den 16. Juni angesetzt.
