嘉年华邮轮证实遭ShinyHunters黑客组织入侵，近600万用户数据泄露

全球最大邮轮运营商嘉年华集团（Carnival Corporation）日前正式确认，公司于2026年4月遭遇了一起严重的系统入侵事件，实施攻击的正是臭名昭著的网络犯罪团伙ShinyHunters。

此次事件的起因与ShinyHunters惯用手法如出一辙——攻击者通过对一家拥有嘉年华系统访问权限的第三方供应商账户发起钓鱼攻击，借此打开缺口，最终渗透到嘉年华内部网络，实现了对供应链的定点突破。

据HaveIBeenPwned平台披露，黑客窃取了近百万条与嘉年华旗下荷美邮轮（Holland America）品牌旅客相关的数据记录，涵盖姓名、出生日期、性别及会员忠诚度计划状态等信息。嘉年华方面随后进一步确认，联系方式、驾照及护照信息同样在泄露之列。目前估计受影响人数约达600万。

嘉年华在信息披露公告中表示："嘉年华集团珍视您对我们的信任，我们非常重视您的隐私与信息安全……我们对此次事件及其可能给您带来的困扰深感遗憾，并已向受影响用户发送了书面通知。"

事实上，嘉年华并非首次遭受网络攻击。2020年，该公司接连遭遇三起网络安全事件——一次数据泄露和两次不同性质的勒索软件攻击；2021年初又发生了第四起入侵事件，可谓屡遭黑手。

嘉年华在声明中表示："在事件发生前，公司已部署了全面的安全防护措施，此后我们又采取了进一步举措来加固系统防线，包括强化安全监控机制。"公司还承诺为受影响的美国用户提供为期两年的免费信用监控服务，并表示"将持续提升IT安全和数据隐私管控能力，以应对不断演变的威胁态势"。

网络安全公司Huntress负责EMEA地区业务的虚拟首席信息安全官（vCISO）及安全顾问穆罕默德·叶海亚·帕特尔（Muhammad Yahya Patel）指出，ShinyHunters的攻击模式如今早已不足为奇。

"近600万人，一种社会工程学手段，"他说，"这就是嘉年华事件的本质。ShinyHunters并不需要零日漏洞或复杂的技术手段来攻破全球最大的邮轮运营商。他们的套路有据可查：通过电话钓鱼（voice phishing），冒充IT人员诱骗员工交出单点登录（SSO）凭证和多因素认证（MFA）验证码，随后系统性地访问与之连接的SaaS（软件即服务）环境，大规模窃取数据。手法相同，结果相同，只是泄露通知信上的公司名称不同而已。"

酒店和旅游行业由于员工流动率高、业务地域分散、高度依赖面向客户的系统，以及追求高效运营的需要，历来是网络攻击的重灾区。帕特尔还指出，像嘉年华这类企业掌握着海量有价值的客户数据，堪称"现成的攻击目标库"，因此此类数据泄露事件的发生并不难理解。

网络安全公司RedFlags联合创始人兼首席执行官蒂姆·沃德（Tim Ward）认为，此次嘉年华事件再次表明，许多企业尚未从根本上重视供应链内部的安全威胁。

"企业需要认真思考如何将安全防护真正融入员工的日常工作流程，在风险发生的关键时刻提供即时的引导与支持，帮助员工在当下做出正确判断，"他说，"安全应该是与人协同运作的机制，而不是每季度走个流程、打个勾了事。只要我们不能从合规驱动的安全意识教育，转变为将安全切实嵌入每一个关键时刻，社会工程学攻击就将始终是突破世界上任何大型组织的最简单途径。"

后续应对建议

帕特尔还为安全负责人梳理了后续应对的优先行动方向。

"首先，技术支持台的身份验证流程目前是主要的攻击面。如果员工会被一个口气笃定的来电者说服，将MFA验证码拱手相让，那么整个身份安全体系将在人的层面被彻底瓦解。"

"其次，ShinyHunters将SSO访问权限作为进入后端所有SaaS应用的跳板。建议全面审计OAuth授权令牌，检查第三方SaaS的访问权限，并对关联平台中的异常行为保持持续监控。"

"第三，问题已不再是'是否会遭受此类攻击'，而是'你的员工能否识别出这类电话'、'你的流程是否让合规操作足够简单'，以及'你的检测机制能否发现攻击得手后的后续行为'。"

"如果上述任何一个问题的答案还不确定，就必须立即着手解决，"帕特尔强调。

Q&A

Q1：ShinyHunters是如何入侵嘉年华邮轮系统的？

A：ShinyHunters并未使用复杂的技术漏洞，而是通过电话钓鱼（voice phishing）手段，冒充IT人员诱骗员工交出单点登录（SSO）凭证和多因素认证（MFA）验证码，随后借助第三方供应商账户的访问权限渗透进嘉年华系统，最终大规模窃取数据。整个过程依赖的是社会工程学，而非技术漏洞。

Q2：嘉年华邮轮数据泄露事件共涉及哪些用户信息？

A：此次泄露的数据涉及嘉年华旗下荷美邮轮品牌的旅客信息，包括姓名、出生日期、性别、会员忠诚度计划状态、联系方式、驾照及护照数据，预计约600万名用户受到影响。嘉年华已承诺为受影响的美国用户提供两年免费信用监控服务。

Q3：企业应如何防范类似ShinyHunters的社会工程学攻击？

A：安全专家建议从三个方面入手：一是强化技术支持台的身份验证流程，防止员工被冒充IT人员的来电者套取MFA验证码；二是定期审计OAuth令牌和第三方SaaS访问权限，监控异常活动；三是将安全意识真正融入员工日常工作流程，而非依赖每季度一次的合规培训。