Carnival Cruises touché par un quatrième cyber incident en un an
4 min read
À la suite d’une violation de données en mars 2020 au cours de laquelle un acteur malveillant a volé des données personnelles après avoir accédé aux comptes de messagerie de l’entreprise et de deux attaques de ransomware distinctes, un en août et une en décembre, Croisières Carnaval a divulgué un autre incident de cybersécurité qui a entraîné le vol apparent d’informations personnellement identifiables (PII).
Rapporté pour la première fois par Ordinateur qui bipe, la violation semble avoir été le résultat d’un accès non autorisé de tiers à ses systèmes informatiques. Rien n’indique qu’un ransomware soit impliqué à cette occasion.
Dans une lettre envoyée aux clients concernés – dont une copie a été partagée par Ordinateur qui bipe – Carnival Cruises a déclaré avoir détecté la brèche le 19 mars 2021 et agi rapidement pour sécuriser ses systèmes. Les données compromises concernent les invités, les employés et l’équipage de sa Carnival Cruise Line, Holland America Line et Princess Cruises, et peuvent inclure des noms, des coordonnées, des détails de passeport, des dates de naissance et, dans certains cas, des numéros de sécurité sociale américains ou d’autres numéros d’identification nationaux.
Il a déclaré que les données étaient systématiquement collectées via l’expérience client et le processus de réservation de voyage, et qu’elles pourraient donc également inclure des données relatives aux résultats des tests Covid-19 et aux vaccinations – Carnival se prépare à commencer à exploiter des services limités à Covid sur certains de ses navires dans le mois à venir.
La société a déclaré avoir des preuves d’une “faible probabilité” que les données soient utilisées à mauvais escient, mais offre néanmoins aux clients concernés un accès aux services de surveillance du crédit et de détection d’usurpation d’identité fournis par Cyberscout pour les 18 prochains mois.
Erich Kron, KnowBe4 défenseur de la sensibilisation à la sécurité, a déclaré que la nature précieuse des données collectées par des organisations telles que Carnival en faisait une cible trop tentante pour les cybercriminels à laisser passer.
“La plupart des grandes croisières, de par leur nature, ont tendance à visiter des ports dans des pays étrangers, elles doivent donc collecter des informations sensibles à utiliser pour la préparation des douanes et à d’autres fins liées au voyage”, a déclaré Kron. « Cela inclut les numéros de sécurité sociale, les numéros de passeport, les noms complets, les adresses, les numéros de téléphone et bien plus encore – toutes les données qui pourraient facilement être utilisées pour voler des identités ou ouvrir des comptes au nom de victimes potentielles. »
Pendant ce temps, Sortie Le vice-président du renseignement sur les menaces, Jack Chapman, a offert des conseils aux clients de Carnival. “J’exhorte tous les clients de Carnival Cruises qui ont été touchés par cette violation à se méfier de toute communication inattendue qu’ils pourraient désormais recevoir, que ce soit par e-mail, SMS ou appels téléphoniques”, a-t-il déclaré.
“Les attaques de suivi peuvent être très convaincantes, en utilisant les informations personnelles accessibles via cette violation de données pour inciter les gens à se séparer d’autres données personnelles qui peuvent être utilisées pour le vol d’identité ou financier.”
Paul Bischoff, défenseur de la vie privée chez Comparitech, a déclaré que ce dernier incident était susceptible d’avoir des ramifications dommageables pour Carnival, et mettrait sans aucun doute un coup de projecteur plus sévère sur sa posture de sécurité.
“À ce stade, j’hésiterais beaucoup à faire confiance à l’entreprise avec mes informations personnelles”, a-t-il déclaré. « Alors que ces attaques deviennent un modèle au lieu d’incidents isolés, je dois me demander si Carnival donne vraiment la priorité à la cybersécurité ou s’il ne s’agit que d’une réflexion après coup. »
Bischoff a noté que le cours de l’action de l’entreprise – qui a chuté de quelques points de pourcentage lorsque la violation a été divulguée – n’avait pas souffert de manière significative à long terme d’aucun de ses récents incidents, et que cette tendance pourrait exacerber la tendance de l’entreprise à se brûler.
« Si les actionnaires continuent de profiter du statu quo, il est peu probable que l’entreprise investisse dans une meilleure technologie et de meilleurs talents en matière de cybersécurité », a-t-il déclaré.
Analyse récente par Comparitech ont constaté que les marchés « punissent » les entreprises victimes d’incidents de cybersécurité, mais pas de beaucoup. Il a examiné les conséquences de 40 violations de sociétés cotées et a constaté que dans 21 cas, l’incident a entraîné une pire performance boursière mesurée par rapport au Nasdaq au cours des six mois suivant une violation que les six mois précédents, mais à peine – les sociétés étudiées ont sous-performé. le Nasdaq de 2,6 % avant, mais seulement 3 % après.
Bischoff a déclaré que les sociétés de technologie et de services financiers avaient tendance à connaître la plus forte baisse de leurs performances boursières après une brèche, mais les sociétés de commerce électronique et de médias sociaux étaient moins affectées. Dans les violations où des informations sensibles sont divulguées – comme celles de Carnival – la baisse est plus immédiate mais à long terme, les victimes ne semblent pas souffrir davantage.
