Et nyt påstået Nintendo-databrud er dukket op, efter at en trusselsaktør krævede 2 millioner dollar for at undgå offentliggørelsen af angiveligt stjålne virksomhedsoplysninger. Gruppen, som kalder sig ShadowByte$, hævder at have fået adgang til næsten et årtis medarbejderrelaterede oplysninger og interne virksomhedsdokumenter.
Nintendo har ikke bekræftet det påståede databrud. Forskere, der har gennemgået offentliggjorte prøvedata, oplyser dog, at dele af materialet ser ud til at være autentisk. Hændelsen understreger de voksende risici, som virksomheder står overfor, når angribere går efter medarbejderoplysninger og eksterne forretningsplatforme.
Hackere kræver 2 millioner dollar for at tilbageholde data
ShadowByte$ offentliggjorde sine påstande på et cyberkriminelt forum og oplyste, at gruppen er i besiddelse af omkring 859 MB Nintendo-relaterede oplysninger. Trusselsaktøren krævede en betaling på 2 millioner dollar og truede med at offentliggøre materialet, hvis Nintendo nægtede at betale.
Ifølge angriberne indeholder datasættet navne på medarbejdere, virksomhedsrelaterede e-mailadresser, medarbejderundersøgelser, analyserapporter, organisationsdata og interne planlægningsdokumenter. Nogle oplysninger skulle også omfatte medarbejderidentifikation og finansielle dokumenter.
Angriberne hævder, at oplysningerne dækker en periode på ti år. Hvis påstanden er korrekt, kan materialet give indsigt i Nintendos interne drift og personaleadministration.
Forskere finder tegn på ægthed
Cybersikkerhedsforskere har gennemgået de offentliggjorte prøver og identificeret oplysninger, som ser ud til at stemme overens med interne personaleregistre. Filerne skulle indeholde medarbejderundersøgelser, feedback fra ansatte, engagementsmålinger og præstationsrelaterede rapporter.
Forskerne fandt også referencer til personer, som fortsat ser ud til at være ansat hos Nintendo. Nogle dokumenter er dateret tilbage til 2016, hvilket understøtter påstanden om, at oplysningerne dækker en længere periode. Metadata i flere filer peger desuden på aktivitet i januar 2026.
På trods af disse fund har forskerne endnu ikke kunnet verificere hele datasættet eller fastslå præcist, hvordan angriberne fik adgang til oplysningerne. Flere væsentlige spørgsmål om hændelsen står derfor stadig ubesvarede.
Tredjepartsleverandører kan have spillet en rolle
Trusselsaktøren henviste til TinyPulse, en platform som virksomheder bruger til at indsamle medarbejderfeedback og måle trivsel på arbejdspladsen. Forskere mistænker, at angriberne kan have fået adgang til oplysningerne gennem en tredjepartsleverandør frem for gennem Nintendos egne systemer.
Leverandører af tredjepartssoftware er fortsat attraktive mål for cyberkriminelle, fordi de ofte opbevarer store mængder følsomme virksomhedsoplysninger. Et kompromis hos én tjenesteudbyder kan eksponere data fra flere organisationer samtidig.
Sikkerhedsteams lægger derfor stadig større vægt på leverandørvurderinger, adgangskontroller og overvågningsprogrammer for at reducere risikoen forbundet med eksterne platforme. Nintendo-hændelsen viser, hvorfor virksomheder skal evaluere sikkerheden i hele deres leverandørkæde.
Konklusion
Det påståede Nintendo-databrud er fortsat ubekræftet, men anklagerne har allerede skabt betydelig opmærksomhed i cybersikkerhedsbranchen. ShadowByte$ hævder at have stjålet næsten ti års medarbejderrelaterede oplysninger og krævet 2 millioner dollar for at undlade at offentliggøre materialet.
Forskere har fundet indikatorer, der understøtter dele af påstanden, men de har endnu ikke bekræftet det fulde omfang af det påståede datasæt. Mens undersøgelserne fortsætter, fungerer hændelsen som endnu en påmindelse om, at angribere i stigende grad går efter medarbejderdata og tredjepartstjenester som en del af moderne afpresningskampagner.
0 svar til “Nintendo-databrud udløser krav om 2 millioner dollar i løsepenge”