Nintendo потврди дека податоци биле украдени при сајбер-напад врз подружница на WebMD

Nintendo of America потврди за BleepingComputer дека сајбер-криминалци украле податоци од анкети преку услугата TinyPulse, која компанијата ја користи интерно, но нагласи дека нејзините сопствени системи не биле компромитирани.

Изјавата на компанијата следува откако групата за изнуда Shadowbyt3$, која нуди „extortion-as-a-service“ услуги, тврдеше дека ексфилтрирала чувствителни податоци поврзани со вработените во Nintendo of America.

„Свесни сме за инцидент поврзан со TinyPulse, услуга од трета страна што Nintendo of America ја користи за интерни анкети меѓу вработените“, соопшти Nintendo.

„Системите на Nintendo не се компромитирани и не е пристапено до лични податоци на клиенти или финансиски информации. Засегнатите податоци се ограничени на содржината на интерни анкети што опфаќаат мал дел од нашите вработени, а поголемиот дел од информациите датираат од пред неколку години“, изјавија од компанијата за BleepingComputer.

Nintendo of America е подружница на јапонската компанија Nintendo и е одговорна за работењето во САД, Канада и делови од Латинска Америка.

TinyPulse е платформа за ангажираност и повратни информации од вработените, која се користи за анонимни анкети, анализа на ангажираноста, собирање мислења и проценка на организациската култура.

Од Nintendo соопштија дека „работат со давателот на услугата за решавање на проблемот“.

BleepingComputer стапил во контакт со WebMD Health Services, сопственикот на платформата TinyPulse, за дополнителни информации за инцидентот и неговото влијание, но до моментот на објавување не добиле одговор.

Shadowbyt3$ бара откуп од 2 милиони долари

Додека Nintendo тврди дека биле изложени само податоци од анкети, Shadowbyt3$ наведува дека украдените информации содржат и лични податоци на вработените.

Во својата првична порака, групата тврдела дека украла речиси 1 GB податоци од Nintendo и ѝ дала на компанијата рок од 48 часа да започне преговори пред јавно да ги објави информациите.

Според тврдењата на напаѓачите, украдените податоци вклучуваат:

• целосни имиња на вработени,
• е-поштa адреси,
• аналитички и анкетни податоци,
• банкарски извештаи,
• W-9 даночни формулари со идентификациски броеви на вработените,
• планови за напредок и извештаи од периодот 2016–2026 година.

„Ако нè контактирате, ќе ви дадеме уште еден ден да размислите. Бараме исплата на откуп од 2 милиони долари“, стои во објавата на Shadowbyt3$.

Во втора порака, Shadowbyt3$ појасни дека „пробивот не влијае на Nintendo Gaming“, туку дека е засегнат „мал број вработени во Nintendo кои ја користеле платформата TinyPulse“.

Во друга објава, групата Shadowbyt3$ предупреди дека ќе следуваат и други жртви и сподели линк до наводно протечени податоци. Според нивните тврдења, објавените материјали содржат директни пораки и разговори меѓу вработени.

Ова укажува дека Nintendo најверојатно не се согласила да го плати бараниот откуп, поради што напаѓачите започнале со објавување на дел од украдените податоци.

BleepingComputer не ги презеде ниту ги анализираше објавените податоци, па затоа не можеше независно да ја потврди нивната автентичност. Сепак, дури и доколку информациите се валидни, личните податоци на корисниците на Nintendo не биле засегнати од овој инцидент и сопствениците на кориснички сметки немаат потреба да преземаат никакви дополнителни мерки.

ShadowByt3$ е релативно нова група за сајбер-изнуда која себеси се опишува како „Extortion-as-a-Service“ (EaaS) и тврди дека дејствува од октомври 2025 година. Групата објавува податоци украдени од компании кои одбиваат да платат откуп и наведува дека, доколку се постигне договор, сите податоци „ќе бидат трајно избришани и повеќе нема да слушнете од нас“.

Сепак, агенциите за спроведување на законот силно обесхрабруваат плаќање откуп на сајбер-криминалци, бидејќи тоа ги поттикнува идните напади и го финансира нивното понатамошно дејствување. Дополнително, не постои никаква гаранција дека напаѓачите навистина ќе ги избришат украдените информации или дека нема тајно да ги продадат на трети лица.

Извори:

• Bleeping Computer – Nintendo confirms data stolen in WebMD subsidiary cyberattack Bleeping Computer