Carnival Cruise Line har nå bekreftet et cyberangrep i april som lot uautoriserte aktører nå passnumrene og personopplysningene til nesten seks millioner passasjerer. Hackere stolte på sosial ingeniørkunst for å lure en ansatt i stedet for å utnytte tekniske feil. Selskapet oppdaget innbruddet 14. april og gikk raskt for å begrense ytterligere skade mens de hentet inn eksterne eksperter.
Detaljer om cyberangrepet i april
Carnival uttalte at inntrengerne bare nådde en begrenset del av systemene sine. Den tilgjengelige informasjonen inkluderer navn, hjemmeadresser, e-postadresser, telefonnumre, fødselsdato og offentlig utstedt identifikasjon som førerkort og pass. Varsler til berørte passasjerer startet i slutten av mai. Carnival tilbyr nå to års gratis kredittovervåking og identitetsbeskyttelse gjennom TransUnion.
Angrepets omfang og data eksponert
En innlevering til Maine Attorney General avslørte det nøyaktige tallet på 5 995 277 personer som potensielt kan bli påvirket. Carnival har uttrykt dyp beklagelse over hendelsen og enhver bekymring den kan ha forårsaket. Operatøren la til at den har innført ekstra sikkerhetskontroller og forbedrede overvåkingsverktøy. Den lovet også å gjennomføre løpende gjennomganger for å styrke sikkerhetsprogrammene sine.
Farer for de med kompromittert passinformasjon
Personer hvis passnummer nå står sammen med andre personlige detaljer i det åpne og tilgjengelige for salg på det svarte markedet, står nå overfor en større sjanse for identitetstyveri og svindel. Kriminelle er i stand til å kombinere dataene for å åpne bankkontoer eller kredittkort i andres navn. De kan også sende inn falsk selvangivelse eller søke om offentlige fordeler. Passdetaljer viser seg å være spesielt nyttige for å lage falske reisedokumenter eller forsøke på visumsvindel.
Økonomiske tap følger ofte når svindlere foretar uautoriserte kjøp eller skader kredittscore gjennom nye kontoer åpnet uten tillatelse. Ofre kan ofte bruke måneder eller år på å bestride anklager og gjenopprette sine poster. Informasjonen kan også brukes bak svært målrettede svindel. Meldinger som nevner et nylig cruise eller spesifikk reisehistorikk virker mer troverdig og lurer folk til å avsløre flere detaljer eller klikke på ondsinnede lenker.
Langsiktige effekter inkluderer varig kredittvurderingsskade som kan påvirke boliglån eller utleie. Mange rapporterer om angst og frustrasjon etter å ha vært i kontakt med banker, kredittbyråer og passkontorer. Dataene kan sirkulere på kriminelle fora i årevis, så trusselen forsvinner ikke så raskt. Et passnummer alene har begrenset verdi, men hele settet med detaljer fra dette bruddet skaper en kraftig pakke for misbruk.
Umiddelbare tiltak for berørte personer
Carnival har allerede begynt å kontakte passasjerer og tilbyr gratis kredittovervåking, selv om mange kommentatorer på sosiale medier håner dette. Eksperter anbefaler å sette kredittstopp hos store byråer for å blokkere nye kontoer. Å konfigurere svindelvarsler legger til et nytt lag med beskyttelse.
Folk bør holde øye med kontoutskrifter, kredittrapporter og e-postinnbokser for uvanlig aktivitet.
De som planlegger å reise snart, kan vurdere å søke om et erstatningspass hvis de føler seg bekymret, selv om erstatning ikke alltid er nødvendig med mindre tydelig misbruk vises.
GDPR-bruddskompensasjon: Den essensielle veiledningen for kravet ditt
Carnivals tidligere sikkerhetsproblemer
Carnival har behandlet flere tidligere cyberhendelser. I 2019 nådde uautoriserte personer systemer knyttet til flere merker og eksponerte kunde- og medarbeiderdata. Et løsepenge-angrep fulgte i 2020 som krypterte filer og stjal ytterligere poster, inkludert passnumre i noen tilfeller. Datasikkerhetsspesialister har kritisert operatøren for ikke å forhindre gjentatte brudd til tross for tidligere advarsler. En konsulent bemerket at den siste saken viser at Carnival ikke har adressert svakheter i opplæring av ansatte og tilgangskontroller.
Sammenlignbare store datahendelser
I 2018 avslørte Marriott at hackere hadde fått tilgang til poster som tilhørte opptil 500 millioner gjester, inkludert passnumre. Bruddet avslørte lignende identitetsdetaljer og reiste parallelle bekymringer om svindel og misbruk av reisedokumenter. Equifax-hendelsen i 2017 kompromitterte personlig informasjon til 147 millioner mennesker, inkludert personnummer og fødselsdato. Begge sakene førte til år med overvåking av tilbud og rettslige skritt ettersom ofrene sto overfor identitetstyveririsiko.
