Notebookcheck Logo

ShinyHunters confirme le vol de 6 millions de dossiers de clients de Carnival après la faille du mois d'avril

Une figure encapuchonnée représentant la menace cybercriminelle à l'origine de la violation des données de Carnival.
ⓘ rawpixel.com
Une figure encapuchonnée représentant la menace cybercriminelle à l'origine de la violation des données de Carnival.
Carnival Corporation confirme que près de 6 millions de clients ont vu leurs données personnelles dérobées lors d'une intrusion en avril revendiquée par ShinyHunters. Des numéros de passeport et des détails de permis de conduire ont été exposés.
Business Security Hack / Data Breach

Carnival a gardé le silence pendant six semaines. Aujourd'hui, l'évidence est confirmée : ShinyHunters s'est emparé des données personnelles de près de 6 millions de clients à la suite d'une intrusion en avril, et le groupe les avait déjà divulguées en ligne.

L'attaque a été rapide. Le 14 avril, l'équipe de sécurité de Carnival a repéré une anomalie sur le compte d'un seul employé. Il a suffi d'un appel d'ingénierie sociale pour y pénétrer. Le 22 avril, des enquêteurs internes ont confirmé que l'attaquant avait déjà copié les données et était parti.

Ce qui a été volé

Les données volées varient d'un individu à l'autre, mais les catégories confirmées comprennent les noms, les adresses personnelles, les adresses électroniques, les numéros de téléphone, les dates de naissance, les numéros de permis de conduire et les numéros de passeport. La plainte déposée par Carnival à l'adresse Le procureur général du Maine évalue le nombre de personnes concernées à un peu moins de 6 millions. ShinyHunters a répertorié 8,7 millions d'enregistrements sur son portail de fuites à la fin du mois d'avril, un chiffre qui inclut des données liées au programme de fidélisation Mariner Society géré par Holland America Line. Have I Been Pwned a confirmé l'ensemble des données. Carnival a refusé de payer. Les données ont été rendues publiques.

Un récidiviste avec une cible récurrente

Carnival n'en est pas à son premier coup d'essai. En 2019, une violation a exposé les données d'environ 180 000 clients et employés et s'est soldée par une amende réglementaire de 1,25 million de dollars. Un deuxième incident a suivi en 2021. Les lettres de notification de la société pour cette violation ont été envoyées le 27 mai, soit six semaines après le début de l'intrusion.

ShinyHunters ne ralentit pas. Le groupe s'est attaqué à une série de cibles majeures au cours de la seule année 2026, frappant à chaque fois les entreprises selon le même schéma : entrer par l'intermédiaire d'une personne, s'emparer des données, exiger un paiement, publier si l'on n'en tient pas compte. Le FBI a mis en évidence ce schéma au début de l'année après que le groupe a ciblé des entreprises en compromettant des environnements Salesforce. ADT et Mixpanel ont été touchés dans la même fenêtre de campagne.

Les résidents américains confirmés comme touchés se voient offrir deux ans de surveillance gratuite de leur crédit par TransUnion. Carnival affirme avoir renforcé ses contrôles de sécurité à la suite de cet incident.

Google LogoAdd as a preferred source on Google
Mail Logo

Articles en relation

> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2026 06 > ShinyHunters confirme le vol de 6 millions de dossiers de clients de Carnival après la faille du mois d'avril
Darryl Linington, 2026-06- 2 (Update: 2026-06- 2)