A Nintendo of America confirmou que dados confidenciais de funcionários foram obtidos por atacantes através de um serviço de terceiros, o TinyPulse, utilizado pela empresa para realizar pesquisas internas. Em um comunicado oficial, a companhia enfatizou que a infraestrutura principal da Nintendo não foi comprometida e que informações de clientes e dados de pagamento não foram afetados pelo incidente. A notícia veio à tona após a divulgação pela própria Nintendo e por declarações da gangue de hackers Shadowbyt3$, que opera sob o modelo de "extorsão como serviço" (RaaS - Ransomware as a Service). Os criminosos alegaram ter roubado dados sensíveis de funcionários da Nintendo of America e exigiram um resgate de US$ 2 milhões.
Representantes da Nintendo esclareceram à imprensa que o incidente se limitou à plataforma TinyPulse, um serviço de propriedade da WebMD Health Services, focado em pesquisas anônimas, coleta de feedback e avaliação da cultura corporativa. "Os sistemas da Nintendo não foram comprometidos, e ninguém obteve acesso a dados pessoais de clientes ou informações financeiras", declarou a empresa. A Nintendo assegura que o vazamento se restringe a materiais de pesquisas internas conduzidas com um pequeno grupo de colaboradores, e que a maior parte dos dados roubados foi coletada há muitos anos. Atualmente, a equipe de segurança da Nintendo está colaborando com os representantes do TinyPulse para investigar a fundo o ocorrido.
No entanto, os membros do grupo Shadowbyt3$ apresentaram uma narrativa divergente. Inicialmente, a gangue afirmou ter roubado aproximadamente 1 GB de dados, concedendo à Nintendo um prazo de 48 horas para iniciar negociações. Os hackers alegaram ter obtido nomes completos e endereços de e-mail de funcionários, resultados de pesquisas, dados analíticos, extratos bancários, formulários W-9, identificadores de funcionários, planos de desenvolvimento da empresa e relatórios internos abrangendo o período de 2016 a 2026. Posteriormente, os criminosos detalharam que o ataque não afetou a infraestrutura de jogos da Nintendo, mas sim exclusivamente os funcionários que utilizavam o TinyPulse. Em seguida, o grupo publicou um link para os dados supostamente roubados, que incluíam mensagens privadas e correspondências entre funcionários. Conforme observado por jornalistas, a recusa da Nintendo em pagar o resgate e negociar com os atacantes parece ter levado à divulgação pública desses dados.
