Un actor de amenințare care operează sub numele SHADOWBYT3$ a revendicat, pe 13 iunie 2026, furtul a aproximativ 859 MB de date ale angajaților asociați Nintendo, prin țintirea TINYpulse, o platformă terță de resurse umane, și nu a infrastructurii centrale a companiei de gaming. Nici Nintendo și nici TINYpulse nu au confirmat breșa, iar datele revendicate rămân neverificate.
Revendicarea și termenul limită
Grupul, care se descrie ca o operațiune de tip „extorcare ca serviciu”, și-a publicat revendicările pe forumuri underground, alături de ceea ce susține că ar fi o structură de fișiere cu date exfiltrate. Conform postării, setul de date presupus ar include numele complete ale angajaților, adresele de e-mail corporative, fișiere PDF cu extrase bancare, formulare fiscale W-9 cu ID-urile angajaților, sondaje interne, analize de engagement și înregistrări de feedback la locul de muncă datând din 2016 până în iunie 2026.
SHADOWBYT3$ a emis o cerere de răscumpărare de 2 milioane de dolari cu un termen limită de 48 de ore, stabilit pentru 15 iunie, amenințând că va divulga sau vinde datele prin servicii de escrow de pe forum dacă plata nu va fi efectuată. După ce Nintendo a refuzat aparent să negocieze, grupul și-a redirecționat extorcarea direct către TINYpulse, prelungind termenul limită până pe 16 iunie și declarând: „Nintendo a decis să nu plătească, așa că cerem ca TINYpulse să plătească, altfel toate datele vor fi divulgate.”
Un vector prin terți
TINYpulse, acum un produs WebMD Health Services, este o platformă cloud de implicare și feedback a angajaților, utilizată de organizații pentru a efectua sondaje la locul de muncă și pentru a urmări indicatorii de performanță. Analiștii de securitate cibernetică au remarcat că vectorul de atac pare limitat la un credential administrativ compromis pe platforma TINYpulse, și nu la o penetrare a rețelei interne a Nintendo.
„Acesta este un compromis foarte limitat în comparație cu o breșă de rețea corporativă la scară largă”, a menționat firma de informații despre amenințări VECERTRadar, care a recomandat revocarea imediată a credențialelor și izolarea tenantului pentru contul TINYpulse al Nintendo of America.
Neconfirmat, dar îngrijorător
Până luni, Nintendo nu a emis nicio declarație publică prin care să recunoască sau să nege breșa de securitate. Platforma de monitorizare a securității cibernetice Hackmanac a marcat incidentul ca „în așteptarea verificării”, cu un scor de severitate ESIX de 5,60. Nintendo Life a raportat că breșa rămâne „neverificată până în prezent”, menționând totodată că natura sensibilă a datelor presupus compromise — în special documentele financiare — o transformă într-o problemă gravă, dacă acestea sunt autentice.
Incidentul se înscrie într-un tipar de atacuri asupra lanțului de aprovizionare, în care atacatorii exploatează furnizorii terți în loc să atace direct sistemele principale ale țintei. Nintendo a confirmat anterior o breșă separată, fără legătură cu aceasta, a unor servere web externe, în octombrie 2025, atribuită unui grup diferit numit Crimson Collective — compania a precizat însă că nicio dată sensibilă nu a fost compromisă în acel incident.
Surse:
https://x.com/VECERTRadar/status/2065548013494235272
Ransomware Group shadowbyt3$ Hits: Nintendo Company (Nintendo.com)