Carnival Cruise Line sufrió un ciberataque en abril mediante el que un actor no autorizado accedió a datos personales de unos seis millones de pasajeros, incluidos nombres, direcciones, correos electrónicos, teléfonos, fechas de nacimiento y números de identificación oficial como permisos de conducir y pasaportes. La intrusión se produjo tras engañar a un empleado con una técnica de ingeniería social, sin explotar vulnerabilidades técnicas de los sistemas.
El equipo de seguridad de la compañía detectó la brecha el 14 de abril y la contuvo de forma inmediata, según explicó la empresa. Carnival no divulgó inicialmente el número total de afectados, pero un documento presentado ante la Fiscalía General de Maine cifró la exposición en 5.995.277 personas, según recogió el Daily Mail.
La compañía ha comenzado a notificar a los pasajeros afectados y les ofrece dos años de servicios gratuitos de monitoreo de crédito y protección de identidad a través de TransUnion. Carnival aseguró haber implementado controles de seguridad y herramientas de monitoreo adicionales para prevenir futuros incidentes y expresó su compromiso con la revisión continua de sus programas de privacidad y ciberseguridad.