La Carnival Cruise Line, tra le più grandi compagnie al mondo nel settore del turismo in crociera, è stata multata per una cifra superiore ai 6 milioni di dollari per “significative violazioni della sicurezza informatica”.
Il Dipartimento dei servizi finanziari di New York – DFS – ha affermato che la Carnival ha violato un regolamento statale sulla sicurezza informatica non utilizzando l’autenticazione a due fattori che renderebbe più difficile l’accesso alla sua rete interna per eventuali malfattori, esponendo in questo modo una grande mole di dati sensibili della sua clientela.
Secondo quanto ricostruito dagli investigatori, tutto è cominciato agli albori della pandemia da Covid-19 ma, soltanto nel marzo del 2020, la compagnia ha rivelato che gli intrusi non solo avevano crittografato alcuni dei suoi dati, ma avevano anche scaricato una serie di informazioni quali nomi e indirizzi, informazioni sulla sicurezza sociale, patente di guida e numeri di passaporto, dati sanitari e di pagamento per migliaia di persone in quasi tutti gli stati americani.
Più precisamente, nel 2019, il team delle operazioni di sicurezza ha individuato un account di posta elettronica interno che era stato utilizzato per inviare e-mail di phishing al fine di raccogliere più credenziali possibili a danno di 180 mila tra dipendenti e clienti della Carnival.
Successivamente, nell’agosto del 2020, la società ha dichiarato di essere stata colpita da un attacco ransomware che ha causato la sottrazione dei dati in suo possesso, a cui ha fatto seguito un ulteriore malware nel gennaio del 2021 che ha permesso di scaricare informazioni sensibili, in particolare numeri di passaporto e date di nascita dei clienti e numeri di carta di credito dei dipendenti; infine, nel marzo successivo, è stato nuovamente compromesso l’account aziendale di un dipendente per porre in essere nuovi tentativi di phishing.
La compagnia turistica è stata inoltre ritenuta responsabile di non aver formato sufficientemente i propri dipendenti per quanto concerne le policy sulla privacy né di aver segnalato alle competenti autorità la violazione subita una volta avutane la certezza.
Per questo motivo ha ricevuto una prima multa del valore di 5 milioni di dollari.
Dal canto suo la Carnival ha contestato gli addebiti, affermando di aver collaborato attivamente con l’autorità di regolamentazione, di non aver posto in essere alcun illecito, sottolineando infine che la privacy e la protezione dei dati erano e sono tuttora ritenute estremamente importanti per la compagnia.
Contemporaneamente, la società ha raggiunto un ulteriore accordo del valore di 1,25 milioni di dollari per mettere fine ad un’altra causa, sempre riguardante l’attacco informatico del 2019, intentata dallo Stato del Connecticut e dagli ulteriori 45 Stati degli Stati Uniti d’America
