Tien merken – waar zat de aanval
Carnival Corporation is het bedrijf dat wereldwijd cruises organiseert. Het heeft de volgende merken:
- Carnival Cruise Line
- Princess Cruises
- Holland America Line
- Seabourn
- P&O Cruises (Australia)
- Costa Cruises
- AIDA Cruises
- P&O Cruises (UK)
- Cunard
Een van deze maatschappijen is het slachtoffer geworden van een succesvolle ransomware aanval. Welke is bijna twee maanden later nog steeds niet bekend. Het enige dat bekend is komt uit de 8K melding.
“[…] we expect that the security event included unauthorized access to personal data of guests and employees, which may result in potential claims from guests, employees, shareholders, or regulatory agencies.“
Hier staat dus dat Carnival vermoedt dat met de ransomware besmetting persoonsgegevens zijn gelekt. In de zelfde paragraaf sluit het nadrukkelijk niet uit dat andere systemen dan van de direct getroffen werkmaatschappij kunnen zijn besmet
“[…] there can be no assurance that other information technology systems of the other Company’s brands will not be adversely affected.”
Covid-19 aandacht
Klanten en personeelsleden waren tot aan die 8K melding ook niet geïnformeerd. Zelfs nu nog is er geen indicatie dat zoiets inmiddels wel is gebeurd. Echt transparant komt dat niet over. Het is zelfs zo dat de malware melding maar een fractie van de totale 8K rapportage is. Het grootste deel van het document beschrijft de impact van Covid-19 op de business.
CCPA en claims
Hoewel het begrijpelijk is dat Carnival zich nu vooral zorgen maakt om het overleven is het een slechte zaak dat het over deze zaak niet communiceert. Helemaal omdat er indicaties zijn dat het niet de eerste aanval van het jaar was. Als bij de tweede aanval PIA’s van burgers uit Californië zijn betrokken kan het trouwens een dure en lastige zaak worden. Handhaving van de CCPA is namelijk onafwendbaar als gedupeerde burgers een individuele of collectieve zaak tegen de rederij aanspannen.
Ook daarom is het opvallend stil rond deze zaak. Het kan een van de eerste grote claims onder de CCPA worden. Er is dus nog geen advocaat die hier business ziet. Betekent het dan dat er te weinig details bekend zijn, of zegt het dat dit incident zich bij een van de niet-Ameirkaanse bedrijven heeft afgespeeld?
