Carnival, de grootste cruisemaatschappij ter wereld, heeft een datalek uit 2019 in de Verenigde Staten geschikt voor een bedrag van 1,25 miljoen dollar. Het bedrijf meldde in maart 2020 dat een aanvaller in mei 2019 toegang tot de e-mailaccounts van verschillende medewerkers had gekregen (pdf). In deze e-mailaccounts stonden namen, adresgegevens, paspoortnummers, rijbewijsnummers, creditcardgegevens, gezondheidsinformatie en in bepaalde gevallen ook social-securitynummers van 180.000 Carnival-klanten en -medewerkers wereldwijd.
Aangezien de datalekmelding pas tien maanden na het incident werd verstuurd besloten verschillende Amerikaanse staten een onderzoek naar de e-mailbeveiliging bij Carnival en compliance met datalekwetgeving in te stellen. Het bedrijf bleek het datalek in mei 2019 al te hebben ontdekt. Door het niet tijdig informeren van klanten en medewerkers zouden die onnodig risico hebben gelopen, aldus de procureurs-generaal van verschillende Amerikaanse staten.
Die kwamen met Carnival een schikking van 1,25 miljoen dollar overeen. Daarnaast moet de cruisemaatschappij een plan voor het reageren op en melden van datalekken implementeren. Verder wordt e-mailsecuritytraining voor het personeel verplicht, waaronder phishingtests, moet multifactorauthenticatie voor remote e-mailtoegang worden geïmplementeerd, alsmede het gebruik van sterke wachtwoorden, moet Carnival securitymonitoring instellen en een onafhankelijk security-audit ondergaan (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.