Nintendo of America har bekreftet at angripere stjal ansattinformasjon under et cyberangrep mot TinyPulse, en plattform for arbeidsplassundersøkelser eid av et datterselskap av WebMD. Selskapet opplyser at hendelsen ikke påvirket Nintendos eget nettverk. I stedet fikk angriperne tilgang til data som var lagret hos den eksterne tjenesteleverandøren.
Bekreftelsen kommer etter at trusselaktøren Shadowbyt3$ hevdet å ha stjålet informasjonen og deretter forsøkt å presse Nintendo for penger. Selskapet erkjenner at angriperne fikk tilgang til ansattrelaterte opplysninger, men bestrider flere av de mer omfattende påstandene som har sirkulert på nettet.
Hendelsen understreker de økende risikoene organisasjoner står overfor når eksterne leverandører håndterer sensitiv bedriftsinformasjon.
Angripere rettet seg mot medarbeiderundersøkelser
Nintendo opplyser at angriperne fikk tilgang til data knyttet til medarbeiderundersøkelser som ble håndtert gjennom TinyPulse-plattformen. Selskapet bruker tjenesten til å samle inn tilbakemeldinger og engasjementsdata fra ansatte.
Ifølge Nintendo inneholdt de eksponerte opplysningene hovedsakelig informasjon fra medarbeiderundersøkelser samt tilhørende kommunikasjon. Selskapet har ikke rapportert om noen påvirkning på kundekontoer, spilltjenester, betalingssystemer eller intern utviklingsinfrastruktur.
Shadowbyt3$ hevdet derimot å sitte på en større mengde informasjon. Trusselaktøren påsto at de stjålne dataene inkluderte ansattnavn, e-postadresser, interne dokumenter, økonomiske opplysninger og svar fra undersøkelser. Nintendo har ikke bekreftet omfanget av disse påstandene.
Nintendo avviser påstander om direkte nettverksbrudd
Nintendo understreket at angriperne ikke kompromitterte selskapets interne systemer. I stedet brøt de seg inn hos TinyPulse og fikk tilgang til informasjon som var lagret på tredjepartsplattformen.
Dette skiller hendelsen fra mange tradisjonelle bedriftsbrudd. Angriperne infiltrerte ikke Nintendos nettverk, stjal ikke selskapets legitimasjon og omgåtte ikke interne sikkerhetskontroller. De rettet seg mot en ekstern tjenesteleverandør som allerede håndterte ansattinformasjon på vegne av Nintendo.
Nintendo påpekte også at mye av den berørte informasjonen ser ut til å være flere år gammel. Selv om eldre data kan redusere enkelte risikoer, kan eksponert personalinformasjon fortsatt skape personvern- og sikkerhetsutfordringer.
Tredjepartsleverandører forblir attraktive mål
Cyberkriminelle retter seg i økende grad mot leverandører og tjenesteleverandører fordi disse selskapene ofte lagrer informasjon som tilhører flere organisasjoner. Et vellykket angrep kan gi trusselaktører tilgang til store mengder bedriftsdata uten at de trenger direkte tilgang til kundenes nettverk.
Plattformer for medarbeiderengasjement, HR-systemer og tjenester for arbeidsplassundersøkelser inneholder ofte sensitiv informasjon som organisasjoner kan overse under sikkerhetsgjennomganger. Angripere kjenner til denne muligheten og fortsetter derfor å gå etter tredjepartsleverandører som håndterer forretningsdata.
TinyPulse-bruddet fungerer som nok en påminnelse om at leverandørsikkerhet spiller en avgjørende rolle i beskyttelsen av bedriftsinformasjon.
Nintendo vurderer konsekvensene
Nintendo opplyser at selskapet fortsatt undersøker hendelsen og vurderer de berørte opplysningene. Selskapet har ikke oppgitt hvor mange ansatte som ble påvirket, men fastholder at angrepet var begrenset til informasjon som var lagret hos TinyPulse.
Organisasjoner som er avhengige av tredjepartstjenester, kan bruke hendelser som denne til å gjennomgå leverandørforhold, evaluere retningslinjer for datalagring og sikre at eksterne leverandører opprettholder passende sikkerhetskontroller.
Sikkerhetseksperter oppfordrer også selskaper til å begrense mengden sensitiv informasjon som deles med eksterne leverandører når det er mulig.
Konklusjon
Bruddet som eksponerte ansattdata fra Nintendo, oppsto hos TinyPulse og ikke i Nintendos eget miljø. Angriperne fikk tilgang til informasjon fra medarbeiderundersøkelser lagret på tredjepartsplattformen og forsøkte deretter å presse selskapet for penger. Selv om Nintendo opplyser at kundesystemer og interne nettverk ikke ble påvirket, viser hendelsen hvordan eksterne leverandører kan bli en inngangsport til sensitiv bedriftsinformasjon.
0 responses to “Ansattdata fra Nintendo stjålet i TinyPulse-cyberangrep”