A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou que quase 6 milhões de pessoas tiveram dados pessoais roubados em um ataque cibernético ocorrido em abril de 2026. O incidente começou quando um funcionário da empresa foi enganado por hackers e acabou cedendo acesso a parte dos sistemas internos da companhia.
No dia 14 de abril, a equipe de segurança da Carnival identificou uma movimentação suspeita na conta de um funcionário. Segundo a empresa, um agente não autorizado usou engenharia social para se passar por alguém de confiança e convencer o funcionário a abrir o acesso.
Engenharia social é basicamente uma técnica de manipulação psicológica. Isso porque, em vez de invadir sistemas diretamente, os criminosos enganam pessoas para que elas mesmas entreguem o acesso, muitas vezes por e-mail, ligação ou mensagem que imita comunicações legítimas. Assim que o acesso não autorizado foi detectado, a Carnival bloqueou a atividade e chamou especialistas externos de segurança para investigar o caso.
Quem está por trás do ataque
O grupo ShinyHunters assumiu a responsabilidade pelo roubo. Os criminosos afirmaram ter levado terabytes de registros da Carnival e indicaram que as negociações foram interrompidas. Em publicação no próprio site de vazamento de dados do grupo, os hackers disseram que “a empresa não chegou a um acordo conosco apesar de nossa paciência” e completaram com “eles não ligam”.
Isso é um indicativo de extorsão. Grupos como o ShinyHunters costumam roubar dados, entrar em contato com a vítima e ameaçar publicar as informações caso não recebam pagamento. Quando a negociação falha, os dados são expostos. A Carnival não comentou sobre o envolvimento do grupo nem sobre a escala completa do incidente em suas comunicações públicas.
Quais dados foram roubados
Após uma análise detalhada dos dados comprometidos, a empresa confirmou que as informações expostas incluem nome completo, endereço, e-mail, número de telefone, data de nascimento e números de documentos emitidos pelo governo, como carteira de motorista e passaporte.
O número exato de pessoas afetadas foi registrado em um documento oficial apresentado ao procurador-geral do estado do Maine, nos Estados Unidos. O total é de 5.995.277 indivíduos, sendo 9.746 residentes daquele estado. Vale lembrar que o impacto varia de pessoa para pessoa. Quem forneceu mais dados à empresa corre mais riscos do que quem compartilhou apenas informações básicas.
O que a empresa está fazendo
A Carnival começou a enviar notificações por e-mail para as pessoas afetadas a partir do último dia 27 de maio de 2026. As mensagens explicam o que aconteceu e como as vítimas podem se proteger.
Como medida de proteção, a empresa está oferecendo dois anos de monitoramento de crédito gratuito através da TransUnion para pessoas nos Estados Unidos. O serviço monitora movimentações no histórico de crédito do usuário e emite alertas caso haja atividades suspeitas, como a abertura de contas no nome da vítima.
O que as vítimas devem fazer
A empresa recomenda que as pessoas afetadas fiquem atentas a sinais de uso indevido de identidade ou fraudes. Isso inclui monitorar extratos bancários, faturas de cartão e qualquer movimentação estranha em contas pessoais. Caso alguém suspeite que está sendo vítima de fraude ou roubo de identidade, a orientação é registrar um boletim de ocorrência.
Situações como essa são comuns em vazamentos que expõem documentos de identificação. Com nome, data de nascimento e número de documento em mãos, criminosos conseguem se passar pela vítima em diversas situações, desde abrir contas bancárias até solicitar crédito no nome de outra pessoa.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.