Nintendo of America har bekræftet, at angribere stjal medarbejderoplysninger under et cyberangreb mod TinyPulse, en platform til arbejdspladsundersøgelser, som ejes af et datterselskab af WebMD. Virksomheden oplyser, at hændelsen ikke påvirkede Nintendos eget netværk. I stedet fik angriberne adgang til data, der var lagret hos den eksterne tjenesteudbyder.
Bekræftelsen kommer, efter at trusselsaktøren Shadowbyt3$ hævdede at have stjålet oplysningerne og efterfølgende forsøgte at afpresse Nintendo. Virksomheden erkender, at angriberne fik adgang til medarbejderrelaterede data, men afviser flere af de mere omfattende påstande, der er blevet delt online.
Hændelsen understreger de voksende risici, som organisationer står overfor, når eksterne leverandører håndterer følsomme virksomhedsoplysninger.
Angribere gik efter medarbejderundersøgelser
Nintendo oplyser, at angriberne fik adgang til data knyttet til medarbejderundersøgelser, som blev administreret via TinyPulse-platformen. Virksomheden bruger tjenesten til at indsamle feedback og engagementsinformation fra medarbejderne.
Ifølge Nintendo indeholdt de eksponerede data primært oplysninger fra medarbejderundersøgelser samt tilhørende kommunikation. Virksomheden har ikke rapporteret om nogen påvirkning af kundekonti, spiltjenester, betalingssystemer eller intern udviklingsinfrastruktur.
Shadowbyt3$ hævdede dog at være i besiddelse af en større mængde information. Trusselsaktøren påstod, at de stjålne data omfattede medarbejdernavne, e-mailadresser, interne dokumenter, økonomiske oplysninger og svar på undersøgelser. Nintendo har ikke bekræftet omfanget af disse påstande.
Nintendo afviser påstande om direkte netværksbrud
Nintendo understregede, at angriberne ikke kompromitterede virksomhedens interne systemer. I stedet brød de ind hos TinyPulse og fik adgang til oplysninger, der var lagret på tredjepartsplatformen.
Det adskiller hændelsen fra mange traditionelle virksomhedsbrud. Angriberne infiltrerede ikke Nintendos netværk, stjal ikke virksomhedens legitimationsoplysninger og omgik ikke interne sikkerhedskontroller. De rettede sig mod en ekstern tjenesteudbyder, som allerede håndterede medarbejderoplysninger på vegne af Nintendo.
Nintendo bemærkede også, at en stor del af de berørte oplysninger ser ud til at være flere år gamle. Selvom ældre data kan reducere visse risici, kan eksponerede medarbejderoplysninger stadig skabe privatlivs- og sikkerhedsproblemer.
Tredjepartsleverandører forbliver attraktive mål
Cyberkriminelle retter sig i stigende grad mod leverandører og tjenesteudbydere, fordi disse virksomheder ofte opbevarer oplysninger fra flere organisationer. Et vellykket angreb kan give trusselsaktører adgang til store mængder virksomhedsdata uden at kræve direkte adgang til kundernes netværk.
Platforme til medarbejderengagement, HR-systemer og tjenester til arbejdspladsundersøgelser indeholder ofte følsomme oplysninger, som organisationer kan overse under sikkerhedsgennemgange. Angribere er opmærksomme på denne mulighed og fortsætter derfor med at gå efter tredjepartsleverandører, der håndterer forretningsdata.
TinyPulse-bruddet fungerer som endnu en påmindelse om, at leverandørsikkerhed spiller en afgørende rolle i beskyttelsen af virksomhedsoplysninger.
Nintendo vurderer konsekvenserne
Nintendo oplyser, at virksomheden fortsat undersøger hændelsen og vurderer de berørte oplysninger. Virksomheden har ikke afsløret, hvor mange medarbejdere der blev påvirket, men fastholder, at angrebet var begrænset til information, som var lagret hos TinyPulse.
Organisationer, der er afhængige af tredjepartstjenester, kan bruge hændelser som denne til at gennemgå leverandørforhold, evaluere politikker for dataopbevaring og sikre, at eksterne leverandører opretholder passende sikkerhedskontroller.
Sikkerhedseksperter opfordrer også virksomheder til at begrænse mængden af følsomme oplysninger, der deles med eksterne leverandører, når det er muligt.
Konklusion
Bruddet, der eksponerede Nintendo-medarbejderdata, opstod hos TinyPulse og ikke i Nintendos eget miljø. Angriberne fik adgang til oplysninger fra medarbejderundersøgelser, der var lagret på tredjepartsplatformen, og forsøgte efterfølgende at afpresse virksomheden. Selvom Nintendo oplyser, at kundesystemer og interne netværk ikke blev påvirket, viser hændelsen, hvordan eksterne leverandører kan blive en indgang til følsomme virksomhedsdata.
0 svar til “Nintendo-medarbejderdata stjålet i TinyPulse-cyberangreb”