A Nintendo of America confirmou que threat actors roubaram dados de pesquisas de um serviço terceirizado chamado TinyPulse, usado internamente, mas que seus sistemas não foram comprometidos.
A declaração da empresa veio após alegações do grupo Shadowbyt3$, que se apresenta como uma operação de “extorsão como serviço”, de que teria extraído dados sensíveis relacionados a funcionários da Nintendo of America.
“Estamos cientes de um problema envolvendo o TinyPulse, um serviço de terceiros usado para pesquisas internas com funcionários na Nintendo of America”, informou a Nintendo.
“Os sistemas da Nintendo não foram comprometidos, e nenhum dado pessoal de clientes ou financeiro foi acessado.”
“A informação envolvida é limitada ao conteúdo de pesquisas internas, abrangendo uma pequena parcela de nossos funcionários, e a maior parte dos dados é de alguns anos atrás”, disse a empresa.
A Nintendo of America é uma subsidiária da empresa japonesa de games e responde pelas operações nos Estados Unidos, no Canadá e em partes da América Latina.
O TinyPulse é uma plataforma de engajamento e feedback de funcionários, usada para pesquisas anônimas, análise de engajamento, coleta de opiniões e avaliação da cultura no ambiente de trabalho.
A empresa de games afirmou estar “trabalhando com o provedor do serviço para resolver o problema”.
A WebMD Health Services, proprietária da plataforma TinyPulse, foi contatada para obter mais informações sobre o incidente e seu impacto, mas não respondeu até a publicação.
Embora a Nintendo afirme que o incidente expôs apenas informações de pesquisas, o Shadowbyt3$ diz que os dados roubados incluem detalhes pessoais de funcionários.
Em uma mensagem inicial, o threat actor afirmou ter roubado cerca de 1 GB de dados da Nintendo e deu à empresa 48 horas para iniciar negociações antes de vazar o material.
Segundo o grupo, os dados incluem nomes completos, endereços de e-mail, informações analíticas e de pesquisas, extratos bancários e formulários W-9 com IDs de funcionários, planos de progresso e relatórios entre 2016 e 2026.
“Se você entrar em contato conosco, damos mais um dia para refletir sobre isso.
Estamos exigindo um pagamento de resgate de 2 milhões de dólares”, diz a publicação do Shadowbyt3$.
Em uma segunda mensagem, o threat actor esclareceu que a “violação não afeta os games da Nintendo”, mas “um pequeno número de funcionários que trabalham para a Nintendo e usaram o TinyPulse”.
Outra publicação do Shadowbyt3$ alertou que haverá mais vítimas e divulgou um link para dados vazados que supostamente incluem mensagens diretas e conversas entre funcionários, sugerindo que a Nintendo não aceitou pagar o resgate.
Mesmo que as informações sejam legítimas, os dados de clientes da Nintendo não foram afetados por essa violação, e os titulares de contas não precisam tomar nenhuma medida.
O ShadowByt3$ é um threat actor relativamente novo, que se descreve como um “grupo de extorsão como serviço” em atividade desde outubro de 2025.
O grupo está vazando dados roubados de empresas vítimas que não pagam resgate e afirma que, em caso de acordo, todo o material “será apagado permanentemente e você não ouvirá mais falar de nós”.
No entanto, as autoridades desencorajam fortemente o pagamento aos hackers, porque isso incentiva novos ataques.
Além disso, não há garantia de que o threat actor não venda as informações de forma privada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...