Nintendo mengonfirmasi data yang dicuri dalam serangan siber anak perusahaan WebMD

Nintendo of America telah mengonfirmasi kepada BleepingComputer bahwa pelaku ancaman mencuri data survei dari layanan TinyPulse pihak ketiga yang digunakan secara internal, namun sistemnya tidak disusupi.

Pernyataan perusahaan tersebut muncul setelah klaim dari kelompok ancaman “pemerasan sebagai layanan” Shadowbyt3 bahwa mereka mengambil data sensitif terkait dengan karyawan Nintendo Amerika.

“Kami mengetahui adanya masalah yang melibatkan TinyPulse, layanan pihak ketiga yang digunakan untuk survei karyawan internal di Nintendo Amerika,” kata Nintendo.

“Sistem Nintendo belum disusupi, dan tidak ada data pelanggan atau keuangan pribadi yang diakses. Sistem Nintendo belum disusupi, dan tidak ada data pelanggan atau keuangan pribadi yang diakses.”

“Data yang terlibat terbatas pada konten survei internal yang mencakup sebagian kecil karyawan kami, dan sebagian besar informasinya berasal dari beberapa tahun yang lalu,” kata perusahaan itu kepada BleepingComputer.

Nintendo of America adalah anak perusahaan dari perusahaan game Jepang, yang bertanggung jawab atas operasi di Amerika Serikat, Kanada, dan sebagian Amerika Latin.

TinyPulse adalah platform keterlibatan dan umpan balik karyawan yang digunakan untuk survei karyawan anonim, analisis keterlibatan, pengumpulan umpan balik, dan penilaian budaya tempat kerja.

Perusahaan game tersebut mengatakan pihaknya “bekerja sama dengan penyedia layanan untuk mengatasi masalah ini.”

BleepingComputer menghubungi Layanan Kesehatan WebMD, pemilik platform TinyPulse, untuk informasi lebih lanjut tentang insiden tersebut dan dampaknya, namun kami belum menerima tanggapan hingga waktu publikasi.

Shadowbyt3$ menuntut tebusan $2 juta

Meskipun Nintendo menyatakan bahwa insiden tersebut hanya mengungkap informasi survei, Shadowbyt3$ mengklaim bahwa informasi yang dicuri mencakup detail pribadi karyawan.

Dalam pesan awal, pelaku ancaman mengatakan bahwa mereka mencuri hampir 1 GB data dari Nintendo dan memberi perusahaan waktu 48 jam untuk melakukan negosiasi sebelum membocorkan informasi tersebut.

Menurut pelaku ancaman, data yang dicuri berisi nama lengkap, alamat email, data analitik dan survei, laporan bank, dan formulir W-9 dengan ID karyawan, rencana kemajuan, dan laporan antara tahun 2016 dan 2026.

“Jika Anda menghubungi kami, kami memberi Anda satu hari ekstra untuk memikirkan hal ini. Kami menuntut pembayaran uang tebusan sebesar 2 juta dolar,” tulis postingan Shadowbyt3$.

Dalam pesan kedua, pelaku ancaman mengklarifikasi bahwa “pelanggaran tersebut tidak memengaruhi game nintendo” tetapi “sejumlah kecil karyawan yang bekerja untuk nintendo dan telah menggunakan tinypulse.”

Postingan lain dari Shadowbyt3$ memperingatkan bahwa akan ada lebih banyak korban dan memberikan tautan ke data yang bocor yang diduga termasuk pesan langsung dan percakapan antar karyawan, menunjukkan bahwa Nintendo tidak setuju untuk membayar uang tebusan.

BleepingComputer tidak mengunduh data yang bocor dan tidak dapat memastikan keasliannya. Meskipun informasi tersebut valid, informasi pelanggan Nintendo tetap tidak terpengaruh oleh pelanggaran ini, dan pemegang akun tidak perlu mengambil tindakan apa pun.

ShadowByt3$ adalah aktor ancaman yang relatif baru yang menggambarkan dirinya sebagai “pemerasan sebagai kelompok layanan” yang beroperasi sejak Oktober 2025. Geng tersebut membocorkan data yang dicuri dari perusahaan korban yang tidak membayar uang tebusan dan mengatakan bahwa jika terjadi penyelesaian, semua data “akan Dihapus Secara Permanen dan Anda tidak akan mendengar kabar dari kami lagi.”

Namun, penegak hukum sangat tidak menyarankan membayar para peretas karena hal itu akan memberikan insentif terhadap serangan di masa depan. Selain itu, tidak ada jaminan bahwa pelaku ancaman tidak akan menjual informasi tersebut secara pribadi.