La société de voyages de loisirs Carnival Corporation a confirmé la semaine dernière que les informations personnelles relatives aux invités, aux employés et à l’équipage avaient été compromises lors d’une attaque de ransomware d’août 2020.

Carnival, qui possède 10 marques mondiales de croisiéristes et une agence de voyages, emploie plus de 120 000 personnes et possède une flotte de 102 navires. Avant la pandémie COVID-19, qui a obligé l’entreprise à suspendre ses activités, Carnival servait plus de 11 millions d’invités par an.

À la mi-août, la société a annoncé qu’elle avait détecté une attaque de ransomware qui avait non seulement entraîné le cryptage de certains de ses systèmes, mais également le téléchargement non autorisé de certains fichiers.

Dans un formulaire 8-K déposé à l’époque auprès de la Securities and Exchange Commission des États-Unis pour annoncer l’incident de sécurité, la société a déclaré que l’attaque avait affecté les systèmes technologiques d’une marque de croisière, mais n’a pas mentionné lesquels. Une enquête a été ouverte et les forces de l’ordre ont été alertées.

La semaine dernière, Carnival a déposé un formulaire 10-Q auprès de la SEC, confirmant que certaines données personnelles avaient été compromises. Cependant, il n’a pas révélé le nombre de personnes touchées ni le type d’informations ayant été consultées.

«Le 15 août 2020, nous avons détecté une attaque de ransomware et un accès non autorisé à nos systèmes informatiques», lit-on dans le dossier. «Pendant que l’enquête est en cours, les premières indications indiquent que le tiers non autorisé a eu accès à certaines informations personnelles relatives à certains invités, employés et membres d’équipage pour certaines de nos opérations.»

Dans le dossier, Carnival note également qu’il n’est pas au courant de l’utilisation abusive des données compromises.

«Il n’y a actuellement aucune indication d’une utilisation abusive de ces informations. Bien qu’à l’heure actuelle, nous ne pensons pas que ces informations seront utilisées à mauvais escient à l’avenir ou que cet incident aura un effet défavorable important sur nos activités, nos activités ou nos résultats financiers, aucune garantie ne peut être donnée et …