Carnival finisce di nuovo nel mirino dei cybercriminali, e stavolta il conto è salato: un furto dati che ha colpito quasi 6 milioni di persone che almeno una volta sono salite a bordo di una delle navi della compagnia. La società madre di Carnival Cruise Line ha confermato la violazione, spiegando che dietro l’attacco non c’è stato un sofisticato exploit informatico, ma qualcosa di molto più subdolo e umano.
Il punto debole, infatti, è stato un dipendente. Un criminale ha usato tecniche di ingegneria sociale, cioè quei trucchi psicologici che servono a manipolare le persone, per convincere un lavoratore dell’azienda a dargli accesso a una porzione dei sistemi informatici. Da lì, prima di essere fermato, ha avuto tutto il tempo di copiare le informazioni personali di una marea di clienti.
Cosa è stato rubato e quante persone sono coinvolte
Secondo la notifica di violazione depositata nel Maine, i numeri parlano chiaro: 5.995.277 persone risultano coinvolte in questo data breach. Gli esperti di sicurezza hanno spiegato che l’intruso ha copiato in modo illegale file pieni di dati sensibili, e ora Carnival sta scrivendo direttamente agli utenti interessati per avvisarli che alcuni elementi che li riguardano sono stati acquisiti.
L’elenco delle informazioni finite nelle mani sbagliate non è breve. Ci sono il nome completo, gli indirizzi email, le date di nascita, il genere, lo stato e il livello di appartenenza alla Mariner Society, oltre agli identificativi interni del cliente. Una cosa interessante è che le comunicazioni inviate ai clienti sembrano personalizzate: a ognuno vengono segnalate solo le categorie di dati che lo riguardano davvero.
Dal canto suo, l’azienda fa sapere di aver messo in campo tutto ciò che era nelle sue possibilità per contenere i danni. Ha allertato le forze dell’ordine e si è affidata anche a esperti esterni per gestire la situazione.
Cosa fare se i propri dati sono stati coinvolti
Il settore delle crociere è da tempo un bersaglio molto appetibile per i ladri di dati, e il motivo è abbastanza intuitivo. I passeggeri sono spesso persone con disponibilità economiche, e i loro profili contengono informazioni preziose: dati identificativi come nomi, indirizzi, date di nascita e numeri di passaporto, recapiti vari e, in alcuni casi, persino dati di pagamento come numeri di carta o coordinate bancarie. Materiale d’oro per chi vuole mettere in piedi un furto di identità, campagne di phishing mirato o frodi su misura.