Vazamento na Carnival expõe dados de 6 milhões de clientes

Phishing em um funcionário expõe milhões

A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou um vazamento de dados que afetou 5.995.277 pessoas. O ataque começou com uma única mensagem de phishing que enganou um empregado em 14 de abril de 2026, dando ao invasor acesso a uma porção limitada dos sistemas de TI da empresa. A confirmação veio semanas depois do grupo ShinyHunters ter listado a Carnival em seu portal “pague ou vazamos” em 18 de abril, alegando o roubo de 8,7 milhões de registros com 7,5 milhões de e-mails únicos.

Cronologia do ataque

• 14 de abril de 2026 — Equipe de segurança identifica atividade não autorizada na conta de um funcionário, obtida via engenharia social
• 18 de abril — ShinyHunters lista a Carnival em seu portal de extorsão, alegando posse de milhões de registros
• 24 de abril — O The Register reporta as alegações do grupo hacker sobre dados da Carnival
• Até o final de abril — Carnival determina que o invasor copiou informações pessoais dos sistemas
• 27 de maio — Empresa começa a notificar os afetados e oferece dois anos de monitoramento de crédito via TransUnion

Os dados expostos incluem nomes, datas de nascimento, gêneros, endereços de e-mail e informações do programa de fidelidade Mariner Society, operado pela Holland America Line, subsidiária da Carnival.

ShinyHunters e o padrão de ataque

O ShinyHunters é um grupo notório responsável por diversos vazamentos de grande escala nos últimos anos. A tática é consistente: invadir via credenciais comprometidas (neste caso, phishing), exfiltrar dados e usar a ameaça de divulgação pública para extorquir pagamento. O Have I Been Pwned já catalogou este vazamento, confirmando os 7,5 milhões de e-mails únicos com dados do programa de fidelidade. Curiosamente, não é a primeira vez que a Carnival sofre um ataque cibernético — a empresa já havia sido vítima de ransomware anteriormente.

Lições e recomendações práticas

• Se você é cliente de cruzeiros Carnival, Holland America ou subsidiárias, verifique se seus dados foram comprometidos em haveibeenpwned.com
• Troque a senha do seu cadastro no programa de fidelidade e use uma senha única que não repete em outros serviços
• Ative alertas de fraude junto ao seu cartão de crédito — dados de nascimento e e-mail facilitam fraudes de identidade
• Empresas com programas de fidelidade devem implementar autenticação multifator (MFA) obrigatória para acesso a dados de clientes, em conformidade com a LGPD (Art. 46, medidas de segurança)
• A ANPD recomenda notificação de incidentes em até 72 horas quando há risco aos titulares — no Brasil, clientes afetados podem acionar a autoridade via gov.br/anpd

Fontes

• Help Net Security – Cybercriminals sail away with data from 6 million Carnival customers
• SecurityWeek – Carnival Data Breach Exposed 6 Million People
• Have I Been Pwned – Carnival Data Breach