Carnival xác nhận ShinyHunters đánh cắp dữ liệu của gần 6 triệu khách hàng

Tập đoàn Carnival - nhà điều hành tàu du lịch lớn nhất thế giới - đã xác nhận một vụ trộm kỹ thuật số, một tháng sau khi nhóm hacker ShinyHunters tuyên bố đã đánh cắp hàng triệu hồ sơ khách hàng.

Theo xác nhận của Carnival, vụ rò rỉ dữ liệu này bắt nguồn từ một cuộc tấn công kỹ thuật xã hội (social engineering) nhắm vào một nhân viên vào ngày 14 tháng 4. Tuy nhiên, công ty từ chối bình luận về quy mô cụ thể hoặc nêu tên nhóm hacker tại thời điểm đó.

Mặc dù vậy, một hồ sơ gửi cho văn phòng tổng chưởng lý bang Maine cho thấy số lượng cá nhân bị ảnh hưởng là gần 6 triệu người. Con số này thấp hơn so với 8,7 triệu hồ sơ mà trang Have I Been Pwned (HIBP) trước đó đã liệt kê.

Chi tiết về dữ liệu bị đánh cắp

Trước đây, Carnival từng thừa nhận cuộc tấn công lừa đảo (phishing) này, nhưng họ không khẳng định liệu có dữ liệu nào bị truy cập hay đánh cắp hay không.

ShinyHunters từng tuyên bố đã lấy đi terabytes dữ liệu của Carnival và ám chỉ việc đàm phán đã thất bại, có khả năng liên quan đến yêu cầu tống tiền của nhóm tội phạm này. "Công ty đã không đạt được thỏa thuận với chúng tôi bất chấp sự kiên nhẫn đáng kinh ngạc của chúng tôi," ShinyHunters viết trên trang web rò rỉ dữ liệu của họ, và thêm rằng: "Họ không quan tâm."

Sau khi thực hiện "phân tích kỹ lưỡng và tốn thời gian đối với dữ liệu bị ảnh hưởng", Carnival xác nhận các thông tin sau đã bị lộ: tên, địa chỉ, địa chỉ email, số điện thoại, ngày sinh và số nhận dạng cá nhân (như số chứng minh thư/ID). Giống như hầu hết các vụ trộm dữ liệu, mức độ ảnh hưởng đối với mỗi cá nhân sẽ khác nhau tùy thuộc vào thông tin họ đã chia sẻ với công ty.

Phản ứng của Carnival

Carnival đã bắt đầu gửi thông báo trực tiếp cho những người bị ảnh hưởng vào thứ Tư vừa qua. Các thông báo này bao gồm chi tiết về cách người nhận có thể đăng ký hai năm dịch vụ giám sát tín dụng miễn phí thông qua TransUnion - một điều phổ biến trong các thông báo vi phạm dữ liệu tại Mỹ.

Công ty kết thúc thông điệp của mình với lời hứa cải thiện: "Ngoài các biện pháp bảo mật toàn diện mà công ty đã áp dụng trước sự cố, chúng tôi đã thực hiện các bước để bảo vệ thêm hệ thống, bao gồm tăng cường các biện pháp kiểm soát bảo mật và giám sát."

"Công ty sẽ tiếp tục nâng cao các biện pháp kiểm soát an ninh CNTT và quyền riêng tư dữ liệu để luôn đi trước một bối cảnh mối đe dọa không ngừng thay đổi."

Bối cảnh cho thấy Carnival chỉ là một trong số nhiều nạn nhân của nhóm tội phạm ShinyHunters trong năm nay, với các phương thức tấn công tập trung vào lừa đảo bộ phận hỗ trợ (helpdesk phishing) để xâm nhập vào môi trường đám mây của các tập đoàn lớn.