أكدت شركة Carnival Corporation، أكبر مشغل للسفن السياحية في العالم، حدوث خرق واسع النطاق للبيانات في أعقاب اختراق النظام في أبريل 2026 الذي طالبت به عصابة ShinyHunters الإلكترونية سيئة السمعة.

وكما هو معتاد في الحوادث المنسوبة إلى ShinyHunters، يبدو أن الهجوم قد نشأ من داخل سلسلة التوريد الخاصة بشركة Carnival، بما في ذلك محاولة تصيد احتيالي ناجحة ضد حساب طرف ثالث لديه إمكانية الوصول إلى أنظمة الضحايا.

وفقًا لـ HaveIBeenPwned، فقد مكّن هذا المتسللين من سرقة ما يقرب من ملايين سجلات البيانات المرتبطة بالمصطافين الذين سافروا باستخدام العلامة التجارية Carnival’s Holland America، بما في ذلك الأسماء وتواريخ الميلاد والجنس وحالة برنامج الولاء. أضاف كرنفال الآن تفاصيل الاتصال ورخصة القيادة وبيانات جواز السفر إلى هذه القائمة. ويعتقد أن ما يقرب من ستة ملايين شخص قد تأثروا.

وفي إشعار الإفصاح، ادعت الشركة: “تقدر شركة Carnival الثقة التي تضعها فينا، ونحن نأخذ خصوصية وأمن معلوماتك على محمل الجد … نأسف بشدة لهذا الحادث وأي قلق قد يسببه، وقد أرسلنا رسائل إخطار إلى الأفراد الذين تأثرت بياناتهم.”

تعرضت شركة Carnival، ضحية الهجوم السيبراني التسلسلي، لثلاث حوادث – خرق للبيانات وهجومين متميزين ببرامج الفدية – في تتابع سريع في عام 2020، تلاها خرق سيبراني رابع في أوائل عام 2021.

“بالإضافة إلى الإجراءات الأمنية الشاملة التي اتخذتها شركتنا قبل الحادث، فقد اتخذنا خطوات لمزيد من حماية أنظمتنا، بما في ذلك تعزيز ضوابط الأمن والمراقبة لدينا،” قال كرنفال، الذي التزم أيضًا بتزويد المقيمين الأمريكيين المتضررين لمدة عامين من خدمات مراقبة الائتمان المجانية.

وأضافت الشركة: “ستواصل شركتنا تطوير ضوابط أمن تكنولوجيا المعلومات وخصوصية البيانات لدينا للبقاء في صدارة مشهد التهديدات المتطور باستمرار”.

قال محمد يحيى باتيل، كبير مسؤولي الأمن السيبراني الافتراضي (vCISO) ومستشار الأمن السيبراني لمنطقة أوروبا والشرق الأوسط وأفريقيا في Huntress، إن نمط اختراق ShinyHunters يجب أن يبدو مألوفًا بشكل غير مريح الآن.

وقال: “ما يقرب من ستة ملايين شخص؛ تقنية واحدة للهندسة الاجتماعية”. “هذا هو اختراق Carnival في أبسط صوره… لم تكن ShinyHunters بحاجة إلى استغلال يوم الصفر أو استغلال متطور لاختراق أكبر مشغل للرحلات البحرية في العالم. إن قواعد اللعبة الخاصة بهم موثقة جيدًا: التصيد الصوتي لاستخراج بيانات اعتماد تسجيل الدخول الموحد (SSO) وأكواد المصادقة متعددة العوامل (MFA) من الموظفين عن طريق انتحال صفة موظفي تكنولوجيا المعلومات، متبوعًا بالوصول المنهجي إلى SaaS المتصلة [software as a service] بيئات لتصفية البيانات على نطاق واسع. نفس التقنية. نفس النتيجة. شعار مختلف على خطاب الإخطار بالانتهاك.

صناعة الضيافة والسفر معرضة بشدة للهجمات السيبرانية بفضل المستويات العالية من دوران الموظفين، والعمليات المتفرقة جغرافيا، والاعتماد الكبير على الأنظمة التي تواجه العملاء، والحاجة إلى التحرك بسرعة لإنجاز الأمور. أضف إلى ذلك الكم الهائل من بيانات العملاء القيمة – “مجموعة أدوات الاستهداف الجاهزة”، كما أشار باتيل – التي تمتلكها منظمات مثل كرنفال، ومن السهل معرفة كيفية حدوث مثل هذه الانتهاكات.

قال تيم وارد، الرئيس التنفيذي والمؤسس المشارك لشركة RedFlags، إن حادثة الكرنفال الأخيرة أظهرت أن العديد من الشركات لم تفكر بعد في الحاجة إلى معالجة تهديدات سلسلة التوريد من الداخل إلى الخارج.

وقال: “تحتاج المؤسسات إلى البدء في التفكير بجدية حول… كيفية مقابلة الأشخاص حيث هم بالفعل: داخل سير عملهم، عند نقطة الخطر، مع التوجيه والدعم الذي يساعدهم على اتخاذ القرار الصحيح في الوقت الفعلي”.

“يجب أن يكون الأمن شيئًا يعمل مع الأشخاص، وليس شيئًا يتم تنفيذه لهم مرة واحدة كل ثلاثة أشهر في تمرين مربع الاختيار. وإلى أن نتحول من الوعي القائم على الامتثال إلى دمج الأمن بشكل حقيقي في اللحظات المهمة، ستظل الهندسة الاجتماعية هي الباب الأسهل للوصول حتى إلى أكبر المؤسسات في العالم.”