I dati rubati a Nintendo non riguardano i giocatori, ma un gruppo ristretto di dipendenti che usavano un servizio esterno per i sondaggi interni. Lo ha confermato Nintendo of America, spiegando che alcuni criminali informatici hanno sottratto informazioni da TinyPulse, la piattaforma di terze parti impiegata per raccogliere feedback in azienda. Il punto importante, ribadito più volte dalla società, è che i sistemi interni non sono stati violati e nessun dato finanziario o personale dei clienti è finito nelle mani sbagliate.
La precisazione arriva dopo le rivendicazioni di un gruppo che si fa chiamare Shadowbyt3$, che sostiene di aver portato via materiale sensibile legato proprio ai lavoratori di Nintendo of America. Secondo la versione dell’azienda, però, la faccenda è molto più contenuta di quanto i criminali vogliano far credere.
Cosa è successo davvero secondo Nintendo
Nella dichiarazione rilasciata, Nintendo ha spiegato di essere a conoscenza di un problema che coinvolge TinyPulse, il servizio usato per i sondaggi interni rivolti ai dipendenti. La frase chiave si ripete quasi come un mantra. I sistemi dell’azienda non sono stati compromessi e nessun dato personale dei clienti o informazione finanziaria è stato consultato.
Stando a quanto riferito, le informazioni coinvolte si limitano al contenuto di alcuni sondaggi interni, riguardano un piccolo gruppo di dipendenti e nella maggior parte dei casi risalgono a diversi anni fa. Nintendo of America è la controllata che gestisce le attività negli Stati Uniti, in Canada e in alcune zone dell’America Latina per conto della casa madre giapponese.
TinyPulse, va detto, è una piattaforma pensata per il coinvolgimento e il feedback del personale. Serve per sondaggi anonimi, analisi sull’engagement, raccolta di opinioni e valutazioni sul clima aziendale. La proprietà è di WebMD Health Services, contattata per avere chiarimenti sull’accaduto ma senza risposta al momento della pubblicazione. La società di videogiochi ha fatto sapere che sta collaborando con il fornitore del servizio per risolvere la questione.
La richiesta di riscatto da due milioni
Qui le due versioni si allontanano parecchio. Mentre Nintendo parla solo di dati legati ai sondaggi, Shadowbyt3$ sostiene di avere in mano dettagli personali dei dipendenti. In un primo messaggio il gruppo ha dichiarato di aver sottratto quasi 1GB di dati, concedendo all’azienda 48 ore per avviare una trattativa prima di pubblicare tutto.
Stando alle affermazioni dei criminali, il materiale conterrebbe nomi completi, indirizzi email, dati analitici e dei sondaggi, estratti conto bancari e moduli fiscali con identificativi dei dipendenti, piani di avanzamento e report compresi tra il 2016 e il 2026. La richiesta è esplicita. Un riscatto di due milioni di dollari, pari a circa 1,8 milioni di euro.
Chi è stato colpito?
In un secondo messaggio il gruppo ha precisato che la violazione non tocca in alcun modo il settore gaming di Nintendo, ma colpisce soltanto un numero limitato di lavoratori che avevano usato TinyPulse. Un altro post ha poi avvertito che ci saranno altre vittime, fornendo un link a dati presumibilmente trafugati che includerebbero messaggi diretti e conversazioni tra dipendenti. Un segnale che lascia intendere come Nintendo non abbia accettato di pagare.
I dati diffusi non sono stati scaricati né è stato possibile verificarne l’autenticità. Anche fossero veri, le informazioni dei clienti restano comunque al sicuro e i titolari di un account non devono fare nulla. ShadowByt3$ è un gruppo relativamente nuovo, che si descrive come una realtà di estorsione come servizio attiva da ottobre 2025. La banda pubblica i dati rubati alle aziende che non pagano e promette che, in caso di accordo, tutto il materiale verrà cancellato in modo permanente senza ulteriori contatti. Le forze dell’ordine, però, sconsigliano fortemente di cedere al ricatto, perché pagare non fa altro che alimentare nuovi attacchi. E soprattutto non esiste alcuna garanzia che i criminali non rivendano comunque le informazioni in privato a qualcun altro.