Wer eine Kreuzfahrt bucht, möchte normalerweise Sonne, Meer und einen entspannten Urlaub erleben. Was die Kunden der Carnival Corporation vermutlich nicht gebucht hatten: eine kostenlose Teilnahme an der Aktion „Ihre persönlichen Daten gehen jetzt auf Weltreise“.
Denn Hacker haben sich Zugriff auf Daten von fast sechs Millionen Kreuzfahrtgästen verschafft. Und das offenbar nicht durch Hightech aus einem Hollywood-Film, sondern über die älteste Sicherheitslücke der Welt:
Den Menschen.
Der Mitarbeiter als VIP-Zugang
Die Hacker nutzten kein geheimes Superprogramm, keinen Quantencomputer und keinen Laser aus dem Weltall.
Sie täuschten offenbar einen Mitarbeiter.
Das nennt sich Social Engineering und bedeutet übersetzt:
„Hallo, ich bin bestimmt vertrauenswürdig. Verrätst du mir bitte dein Passwort?“
Offenbar hat das funktioniert.
Vier Tage lang bemerkte niemand etwas.
Vier Tage!
Das ist ungefähr die Zeit, die manche Kreuzfahrtschiffe benötigen, um einmal durch die halbe Karibik zu fahren.
Willkommen im Daten-Buffet
Die Angreifer konnten sich an einem reichhaltigen Buffet bedienen.
Auf der Speisekarte standen unter anderem:
- Namen
- Geburtsdaten
- E-Mail-Adressen
- Passnummern
- Führerscheindaten
- Bonusprogramme
Kurz gesagt:
Alles außer der Frage, ob man lieber Innenkabine oder Balkon gebucht hatte.
Die Hacker machen Urlaub
Man muss den Angreifern fast Respekt zollen.
Während normale Urlauber monatelang sparen müssen, um auf ein Kreuzfahrtschiff zu kommen, haben sich die Hacker einfach kostenlos durch die digitalen Kabinen bewegt.
All-inclusive, versteht sich.
Nicht der erste Bordzwischenfall
Besonders beruhigend wirkt dabei die Information, dass Carnival bereits mehrfach Ziel von Cyberangriffen war.
Man könnte sagen:
Andere Reedereien sammeln Kreuzfahrtmeilen.
Carnival sammelt Hackerangriffe.
Bereits 2020 gab es Probleme mit Computersystemen und abgesagten Reisen.
Nun also die nächste digitale Eisberg-Kollision.
Der kostenlose Trostpreis
US-Kunden erhalten immerhin zwei Jahre kostenlosen Identitäts- und Kreditschutz.
Das ist ungefähr so, als würde ein Restaurant nach einer Lebensmittelvergiftung sagen:
„Keine Sorge, den Kamillentee übernehmen wir.“
Die neue Kreuzfahrt-Erfahrung
Vielleicht muss die Branche einfach umdenken.
Künftig könnte auf den Buchungsseiten stehen:
✔ Vollpension
✔ Poollandschaft
✔ Abendunterhaltung
✔ Weltweite Verteilung persönlicher Daten
Fazit
Für Kreuzfahrtfans bleibt zu hoffen, dass künftig mehr Geld in IT-Sicherheit als in Buffetdekoration investiert wird.
Denn die größte Gefahr auf hoher See scheint mittlerweile nicht mehr der Sturm zu sein.
Sondern die Frage, ob irgendwo ein Mitarbeiter gerade auf den falschen Link klickt.
Und während die Schiffe weiter durch die Ozeane fahren, gehen die Kundendaten offenbar schon einmal auf eigene Kreuzfahrt
Kommentar hinterlassen