Carnival Corporation, najväčší prevádzkovateľ výletných lodí na svete, potvrdil únik dát, ktorý zasiahol takmer 6 miliónov zákazníkov. Stalo sa tak po útoku známej hackerskej skupiny ShinyHunters. Uniknuté údaje obsahovali mená, e-mailové adresy, dátumy narodenia aj informácie z vernostných programov.
Carnival Corporation identifikoval podozrivú aktivitu spojenú s účtom jedného zo zamestnancov. Útočníci sa do interných systémov dostali prostredníctvom takzvaného social engineeringu. Ide o techniku, pri ktorej hackeri manipulatívnymi metódami oklamú zamestnanca a získajú prístup k jeho prihlasovacom údajom. Na rozdiel od klasického ransomvérového útoku nedošlo k zašifrovaniu systémov, alek neoprávnenému skopírovaniu firemných súborov, ktoré obsahovali aj údaje zákazníkov.
Carnival podľa BleepingComputer potvrdil, že útočníci súbory skutočne skopírovali a sprístupnili ich mimo firemných systémov.
Koľko ľudí to presne zasiahlo?
Skupina ShinyHunters pridala Carnival Corporation na svoju takzvanú „pay or leak“ stránku. Na tej zverejňuje ukradnuté dáta, pokiaľ obeť odmietne zaplatiť výkupné. Tvrdila, že ukradla 8,7 milióna záznamov obsahujúcich osobné identifikačné informácie, ako aj terabajty interných firemných dát.
Podľa hlásenia, ktoré firma podala na úrade generálneho prokukrátora štátu Maine, bolo toto číslo nižšie. Stále však je dosť vysoké. Hovorí o necelých 6 miliónoch dotknutých zákazníkov.
Uniknuté dáta analyzovala aj renomovaná platforma Have I Been Pwned. Zistila, že súbor obsahoval asi 7,5 milióna jedinečných e-mailových adries a celkovo 8,7 milióna záznamov. SecurityWeek referuje, že podľa samotného Carnivalu mohli byť ohrozené mená, adresy, dátumy narodenia, e-mailové adresy, telefónne čísla aj čísla vládou vydaných dokladov.
Zdá sa pritom, že dáta sú prepojené predovšetkým s vernostným programom Mariner Society, ktorý prevádzkuje Holland America Line, čo je dcérska firma Carnivalu. Have I Been Pwned potvrdzuje, že záznamy obsahujú mená, dátumy narodenia, pohlavie, geografickú polohu a informácie o členstve vo vernostnom programe. Carnival neskôr upresnil, že rozsah ohrozených údajov nie je u každého zákazníka rovnaký.
Carnival si počkal
Hoci k incidentu došlo v apríli, Carnival začal informovať dotknutých zákazníkov až koncom mája. Pochopiteľne, čokoľvek zapierať už v tomto bode nemá zmysel, a tak sa rozhodol, že poškodených zákazníkov odškodní.
V rámci kompenzácie spoločnosť ponúka americkým zákazníkom 24 mesiacov bezplatného monitoringu kreditného skóre a ochrany identity prostredníctvom služby TransUnion. CyberInsider konštatuje, že hoci si firma počkala, v porovnaní s predchádzajúcimi incidentmi konala relatívne rýchlo. Napríklad pri úniku v roku 2020 trvalo takmer desať mesiacov, kým sa táto informácia dostala k zákazníkom. Tentokrát sa tak stalo do mesiaca.
Kto sú ShinyHunters?
ShinyHunters sú hackerská skupina aktívna od roku 2019, orientovaná prevažne na financie. Podľa bezpečnostnej databázy Malpedia sa zameriava na krádež citlivých dát zo širokého spektra organizácií a typicky využíva phishingové útoky a manipulatívne sociálno-inžinierske techniky.
Skupina si od svojho vzniku vybudovala dlhý zoznam obetí. Len v roku 2020 prisvojila viac ako 200 miliónov záznamov z trinástich spoločností. Medzi ich obete patria aj známe mená ako Ticketmaster, AT&T, indonézska e-commerce platforma Tokopedia či európske módne domy. Napriek viacerým zatykačom a dokonca aj konkrétnym zatknutiam skupina stále funguje pod pôvodnou značkou a stala sa akýmsi „franšízovým“ modelom v kybernetickom podsvetí.
Pri útokoch, ktoré skupina realizovala v posledných dvoch rokoch, začali častejšie používať aj technológiu vishing, teda phishing prostredníctvom telefonátov. Mnohí považujú ShinyHunters za jednu z najaktívnejších a najnebezpečnejších hrozieb súčasnosti.
Dlhá história incidentov
Ako ste už zrejme pochytili, tento prípad nie je pre Carnival Corporation ničím novým. Firma medzi rokmi 2019 a 2021 potvrdila štyri samostatné bezpečnostné incidenty, a to len na oddelení finančných služieb v New Yorku. Medzi nimi boli ransomvérové útoky a phishingová kampaň, pri ktorej útočníci nasadili malvér, zašifrovali systémy a ukradli osobné údaje nielen zákazníkov, ale aj zamestnancov.
Za spomínaný incident z roku 2020 firma v rámci kompenzácie pre zákazníkov zaplatila 1,25 milióna dolárov. Posledný incident je podľa expertov druhý veľký únik dát Carnivalu v tomto desaťročí. Až 6 miliónov dotknutých osôb predstavuje nielen operačný bezpečnostný problém, ale aj dlhodobé riziko krádeže identity.
Čo by mali spraviť zákazníci?
Pre zákazníkov, ktorí dostali výstražnú správu od Carnivalu, platia štandardné odporúčania. Odborníci na kybernetickú bezpečnosť všeobecne pri takýchto incidentoch odporúčajú sledovať pohyby na bankových účtoch a kreditných kartách, zmeniť heslá (predovšetkým tam, kde používajú rovnaké prihlasovacie údaje) a dbať na ostražitosť voči phishingovým e-mailom a podvodným telefonátom.
