Nintendo of America hat bestätigt, dass Angreifer bei einem Cyberangriff auf TinyPulse, eine Plattform für Mitarbeiterbefragungen eines WebMD-Tochterunternehmens, Mitarbeiterdaten gestohlen haben. Das Unternehmen betont, dass der Vorfall das eigene Netzwerk von Nintendo nicht beeinträchtigte. Stattdessen griffen die Angreifer auf Daten zu, die beim Drittanbieter gespeichert waren.
Die Bestätigung folgt auf Behauptungen des Bedrohungsakteurs Shadowbyt3$, der nach dem Datendiebstahl versucht haben soll, Nintendo zu erpressen. Während Nintendo einräumt, dass die Angreifer auf mit Mitarbeitern verbundene Informationen zugreifen konnten, weist das Unternehmen mehrere weitergehende Behauptungen zurück, die online verbreitet wurden.
Der Vorfall verdeutlicht die wachsenden Risiken, denen Unternehmen ausgesetzt sind, wenn externe Anbieter sensible Unternehmensdaten verwalten.
Angreifer hatten es auf Mitarbeiterbefragungen abgesehen
Nintendo erklärt, dass die Angreifer auf Daten aus Mitarbeiterbefragungen zugreifen konnten, die über die TinyPulse-Plattform verwaltet wurden. Das Unternehmen nutzt den Dienst, um Feedback und Informationen zum Mitarbeiterengagement zu sammeln.
Nach Angaben von Nintendo enthielten die offengelegten Datensätze hauptsächlich Informationen aus Mitarbeiterumfragen sowie zugehörige Kommunikation. Das Unternehmen meldete keine Auswirkungen auf Kundenkonten, Spieldienste, Zahlungssysteme oder die interne Entwicklungsinfrastruktur.
Shadowbyt3$ behauptete hingegen, im Besitz einer deutlich größeren Datenmenge zu sein. Der Bedrohungsakteur erklärte, die gestohlenen Daten umfassten Namen von Mitarbeitern, E-Mail-Adressen, interne Dokumente, Finanzinformationen und Umfrageantworten. Nintendo hat den Umfang dieser Behauptungen nicht bestätigt.
Nintendo weist Berichte über einen direkten Netzwerkangriff zurück
Nintendo betonte, dass die Angreifer die internen Systeme des Unternehmens nicht kompromittiert haben. Stattdessen verschafften sie sich Zugang zu TinyPulse und den dort gespeicherten Informationen.
Dadurch unterscheidet sich der Vorfall von vielen klassischen Unternehmensverletzungen. Die Angreifer drangen nicht in Nintendos Netzwerk ein, stahlen keine Zugangsdaten des Unternehmens und umgingen keine internen Sicherheitskontrollen. Stattdessen griffen sie einen externen Dienstleister an, der bereits Mitarbeiterdaten im Auftrag von Nintendo verwaltete.
Nintendo wies außerdem darauf hin, dass ein großer Teil der betroffenen Informationen mehrere Jahre alt zu sein scheint. Auch wenn ältere Daten bestimmte Risiken reduzieren können, können offengelegte Mitarbeiterinformationen weiterhin Datenschutz- und Sicherheitsprobleme verursachen.
Drittanbieter bleiben attraktive Ziele
Cyberkriminelle richten ihre Angriffe zunehmend auf Dienstleister und Anbieter aus, da diese häufig Daten mehrerer Unternehmen speichern. Ein erfolgreicher Angriff kann Bedrohungsakteuren Zugang zu großen Mengen an Unternehmensinformationen verschaffen, ohne dass sie die Netzwerke ihrer Kunden direkt kompromittieren müssen.
Plattformen für Mitarbeiterengagement, HR-Systeme und Dienste für Mitarbeiterbefragungen enthalten oft sensible Informationen, die bei Sicherheitsprüfungen übersehen werden. Angreifer erkennen dieses Potenzial und konzentrieren sich weiterhin auf Drittanbieter, die Geschäftsdaten verwalten.
Die TinyPulse-Datenpanne dient als weitere Erinnerung daran, dass die Sicherheit von Dienstleistern eine entscheidende Rolle beim Schutz von Unternehmensinformationen spielt.
Nintendo untersucht die Auswirkungen
Nintendo erklärt, dass das Unternehmen den Vorfall weiterhin untersucht und die betroffenen Datensätze analysiert. Wie viele Mitarbeiter von dem Vorfall betroffen sind, wurde nicht bekannt gegeben. Nintendo hält jedoch daran fest, dass sich der Angriff auf Informationen beschränkte, die bei TinyPulse gespeichert waren.
Unternehmen, die auf externe Dienste angewiesen sind, können Vorfälle wie diesen nutzen, um ihre Beziehungen zu Dienstleistern zu überprüfen, Richtlinien zur Datenspeicherung zu bewerten und sicherzustellen, dass externe Anbieter angemessene Sicherheitsmaßnahmen umsetzen.
Sicherheitsexperten empfehlen Unternehmen außerdem, die Menge sensibler Informationen, die sie mit Drittanbietern teilen, so weit wie möglich zu begrenzen.
Fazit
Die Datenpanne mit Mitarbeiterdaten von Nintendo hatte ihren Ursprung bei TinyPulse und nicht in Nintendos eigener IT-Umgebung. Die Angreifer griffen auf Informationen aus Mitarbeiterbefragungen zu, die auf der Plattform des Drittanbieters gespeichert waren, und versuchten anschließend, das Unternehmen zu erpressen. Obwohl Nintendo betont, dass Kundensysteme und interne Netzwerke nicht betroffen waren, zeigt der Vorfall, wie Drittanbieter zu einem Zugangspunkt für sensible Unternehmensdaten werden können.
0 Kommentare zu „Mitarbeiterdaten von Nintendo bei TinyPulse-Cyberangriff gestohlen“