Ein Klick zu viel, eine getäuschte Mitarbeiterin — und schon sind die Daten von Millionen Menschen weg. Beim Kreuzfahrt-Riesen Carnival wurde ein Datenleck bekannt, das fast 6 Millionen Gäste betrifft.
So kamen die Angreifer rein
Der Einbruch lief nicht über eine technische Lücke, sondern über Social Engineering. Ein Angreifer täuschte Mitarbeiter und verschaffte sich so Zugang über ein Mitarbeiterkonto. Carnivals IT-Sicherheitsteam bemerkte die „unautorisierte Aktivität“ Mitte April.
SCHOCK: Das wurde erbeutet
Die Liste der abgeflossenen Daten ist heikel:
- Namen, Adressen, E-Mail-Adressen und Telefonnummern
- Geburtsdaten
- Behördliche Ausweisnummern wie Führerschein- und Passnummern
Betroffen sind Gäste mehrerer Marken des Konzerns: Carnival Cruise Line, Princess Cruises, Holland America Line und Seabourn. Die Hackergruppe ShinyHunters hat sich zu dem Angriff bekannt und behauptet, mehr als 8,7 Millionen Datensätze erbeutet zu haben.
Was Carnival anbietet
Betroffene erhalten zwei Jahre kostenlose Kreditüberwachung bei TransUnion. Die Benachrichtigung per E-Mail begann am 27. Mai, am selben Tag erschien ein Hinweis auf der Website.
So schützt du dich jetzt
- Phishing-Alarm: Mit Namen, Reisedaten und Ausweisdaten lassen sich täuschend echte Betrugsmails bauen. Sei bei „Carnival“-Mails extra misstrauisch.
- Kontoauszüge prüfen und auf ungewöhnliche Abbuchungen achten.
- Kreditüberwachung annehmen, falls du betroffen bist.
- Wo möglich, Identitätsdiebstahl-Schutz einrichten.
FAZIT
Der Fall zeigt mal wieder: Der Mensch ist oft die größte Schwachstelle. Gegen erbeutete Stammdaten kannst du wenig tun — aber wachsam bei Phishing und Kontobewegungen zu sein, ist jetzt deine beste Verteidigung.