Nintendo onderzoekt beweringen dat cybercriminelen bijna tien jaar aan interne bedrijfsgegevens hebben gestolen en eisen 2 miljoen dollar om te voorkomen dat de informatie online wordt vrijgegeven.
De beschuldigingen werden geplaatst op een cybercrime-forum door een dreigingsactor die zichzelf ShadowByte$ noemt, die beweert ongeveer 859MB aan data te bezitten die naar verluidt gelinkt is aan de Japanse gamegigant. Hoewel Nintendo geen lek heeft bevestigd, zeiden beveiligingsonderzoekers die voorbeelden van de gelekte bestanden bekeken hebben dat delen van de data authentiek lijken te zijn.
Volgens de aanvallers omvat de gestolen informatie namen van medewerkers, bedrijfs-e-mailadressen, interne rapporten, personeelsonderzoeken, planningsdocumenten, organisatiegegevens en andere interne gegevens. Onderzoekers die de steekproeven onderzochten, zeiden dat ze medewerkersbetrokkenheidsenquêtes, feedback op de werkplek en HR-gerelateerde gegevens van meerdere jaren terug vonden.
De dreigingsactor beweert dat de gegevens zich uitstrekken van 2016 tot 2026, wat mogelijk tien jaar interne bedrijfsinformatie blootlegt. Metadata die in sommige bestanden zijn gevonden, geven naar verluidt aan dat ten minste een deel van de dataset in januari 2026 is geëxporteerd. Onderzoekers identificeerden ook verwijzingen naar personen die nog steeds bij Nintendo in dienst lijken te zijn, wat de geloofwaardigheid geeft aan delen van het gelekte materiaal.
Een van de grootste onbeantwoorde vragen is hoe de gegevens zijn verkregen. Onderzoekers zeggen dat er momenteel geen bewijs is dat de interne systemen van Nintendo direct zijn gecompromitteerd. De aanvallers verwezen naar TinyPulse, een platform voor medewerkersbetrokkenheid en feedback op het personeelsniveau dat door organisaties wordt gebruikt om anonieme medewerkersenquêtes en werkplekinzichten te verzamelen. Daarom denken onderzoekers dat het incident mogelijk te maken heeft met een dienst van een derde partij in plaats van een directe inbreuk op de infrastructuur van Nintendo.
Op dit moment is er geen aanwijzing dat klantgegevens, Nintendo-accountgegevens, betalingsgegevens of spelersinformatie zijn beïnvloed. De gelekte monsters die tot nu toe zijn bekeken, lijken voornamelijk te bestaan uit werknemers- en bedrijfsgegevens.
Het incident benadrukt een groeiende trend in cybercriminaliteit waarbij aanvallers zich richten op het stelen van gevoelige bedrijfsinformatie voor afpersing in plaats van ransomware in te zetten om systemen te versleutelen. Interne documenten, medewerkersdossiers, strategisch planningsmateriaal en personeelsgegevens kunnen waardevolle onderhandelingsmiddelen zijn voor dreigende actoren die losgeld eisen.
ShadowByte$ is een relatief nieuwe afpersingsgroep die naar verluidt eerder dit jaar is opgekomen. De groep beweert de vermeende Nintendo-gegevens vrij te geven als aan haar eisen niet wordt voldaan, hoewel noch de authenticiteit noch de volledige omvang van de dataset onafhankelijk is geverifieerd.
Nintendo heeft zich niet publiekelijk uitgesproken over de beweringen en het bedrijf heeft niet bevestigd of er sprake is geweest van een datalek. Totdat er aanvullend bewijs opduikt of Nintendo zijn bevindingen bekendmaakt, blijft het vermeende compromis niet geverifieerd.