Carnival Cruises frappé par le quatrième cyberincident en un an

À la suite d’une violation de données en mars 2020 au cours de laquelle un acteur malveillant a volé des données personnelles après avoir accédé à des comptes de messagerie d’entreprise, et de deux attaques de ransomware distinctes, l’une en août et l’autre en décembre, Carnival Cruises a divulgué un autre incident de cybersécurité qui a entraîné le vol apparent d’informations personnellement identifiables (PII).

D’abord rapporté par Ordinateur de bleeping, la violation semble avoir été le résultat d’un accès non autorisé de tiers à ses systèmes informatiques. Il n’y a aucune indication que ransomware est impliqué à cette occasion.

Dans une lettre envoyée aux clients concernés – dont une copie a été partagée par Bleeping Computer Carnival Cruises a déclaré avoir détecté la violation le 19 mars 2021 et avoir agi rapidement pour sécuriser ses systèmes. Les données compromises concernent les clients, les employés et l’équipage de sa carnival cruise line, Holland America Line et Princess Cruises, et peuvent inclure des noms, des coordonnées, des détails de passeport, des dates de naissance et, dans certaines circonstances, des numéros de sécurité sociale américains ou d’autres numéros d’identification nationaux.

Il a déclaré que les données étaient régulièrement collectées via l’expérience client et le processus de réservation de voyage, et qu’elles pourraient donc également inclure des données relatives aux résultats des tests Covid-19 et aux vaccinations – Carnival se prépare à commencer à exploiter des services limités covid sur certains de ses navires dans les mois à venir.

La société a déclaré qu’elle avait des preuves d’une « faible probabilité » que les données soient utilisées à mauvais escient, mais qu’elle offrait néanmoins aux clients concernés l’accès aux services de surveillance du crédit et de détection du vol d’identité fournis par Cyberscout pour les 18 prochains mois.

Erich Kron, défenseur de la sensibilisation à la sécurité knowbe4, a déclaré que la nature précieuse des données collectées par des organisations telles que Carnival en a fait une cible trop tentante pour les cybercriminels.

« La plupart des grandes croisières, de par leur nature même, ont tendance à visiter des ports de pays étrangers, de sorte qu’elles doivent recueillir des renseignements sensibles à utiliser pour la préparation douanière et à d’autres fins liées au voyage », a déclaré Kron. « Cela inclut les numéros de sécurité sociale, les numéros de passeport, les noms complets, les adresses, les numéros de téléphone et bien plus encore – toutes des données qui pourraient facilement être utilisées pour voler des identités ou ouvrir des comptes au nom de victimes potentielles. »

Pendant ce temps, le vice-président du renseignement sur les menaces d’Egress, Jack Chapman, a offert des conseils aux clients de Carnival. « J’exhorte tous les clients de Carnival Cruises qui ont été touchés par cette violation à se méfier de toute communication inattendue qu’ils pourraient maintenant recevoir, que ce soit par e-mail, sms ou appels téléphoniques », a-t-il déclaré.

« Les attaques de suivi peuvent être très convaincantes, utilisant les informations personnelles accessibles via cette violation de données pour inciter les gens à se séparer d’autres données personnelles qui peuvent être utilisées pour le vol d’identité ou financier. »

Paul Bischoff, défenseur de la vie privée chez Comparitech, a déclaré que ce dernier incident était susceptible d’avoir des conséquences néfastes pour Carnival et jetterait sans aucun doute un coup de projecteur plus sévère sur sa posture de sécurité.

« À ce stade, je serais extrêmement hésitant à faire confiance à l’entreprise avec mes informations personnelles », a-t-il déclaré. « Alors que ces attaques deviennent un modèle au lieu d’incidents isolés, je dois me demander si Carnival fait vraiment la priorité à la cybersécurité ou s’il ne s’agit que d’une réflexion après coup. »

M. Bischoff a fait remarquer que le cours de l’action de l’entreprise – qui a chuté de quelques points de pourcentage lorsque la violation a été divulguée – n’avait pas souffert de façon significative à long terme de l’un de ses récents incidents, et que cette tendance pourrait exacerber la tendance de l’entreprise à se brûler.

« Si les actionnaires continuent de profiter du statu quo, il est peu probable que l’entreprise investisse dans une meilleure technologie de cybersécurité et des talents », a-t-il déclaré.

Une analyse récente de Comparitech a révélé que les marchés « punissent » les entreprises qui sont victimes d’incidents de cybersécurité, mais pas de beaucoup. Il a examiné les conséquences de 40 violations de sociétés cotées et a constaté que dans 21 cas, l’incident a entraîné une moins bonne performance boursière mesurée par rapport au Nasdaq dans les six mois suivant une violation que les six mois précédents, mais seulement à peine – les sociétés étudiées ont sous-performé le Nasdaq de 2,6% avant, mais seulement 3% après.

M. Bischoff a déclaré que les entreprises de services technologiques et financiers avaient tendance à voir la plus forte baisse de leur performance boursière après une violation, mais que les entreprises de commerce électronique et de médias sociaux étaient moins touchées. Dans les atteintes où des informations sensibles sont divulguées – comme celle de Carnival – la baisse est plus immédiate, mais à long terme, les victimes ne semblent pas souffrir davantage.