La filiale américaine de Nintendo a confirmé que des pirates ont dérobé des données d’enquêtes via le service tiers TinyPulse, qui est employé en interne. Les systèmes de l’entreprise elle-même n’ont pas été compromis.
La société a réagi après que le groupe cybercriminel Shadowbyt3$ a affirmé avoir exfiltré des informations sensibles concernant les employés de Nintendo of America.
« Nous avons connaissance d’un problème impliquant TinyPulse, un service externe utilisé pour les enquêtes internes auprès des employés chez Nintendo of America », a déclaré Nintendo.
« Les systèmes de Nintendo n’ont pas été compromis, et aucune donnée personnelle ou financière de clients n’a été consultée. Les données concernées se limitent au contenu d’enquêtes internes qui touchent un petit nombre de nos employés, et la majorité des informations remontent à plusieurs années », a précisé l’entreprise.
Nintendo of America est la filiale de la société japonaise chargée des activités aux États-Unis, au Canada et dans certaines régions d’Amérique latine.
TinyPulse est une plateforme dédiée à l’engagement et au retour d’expérience des employés, utilisée pour des enquêtes anonymes, des analyses d’engagement et l’évaluation de la culture d’entreprise.
L’éditeur de jeux vidéo a indiqué qu’il « travaillait avec le fournisseur de service pour résoudre ce problème. »
Nous avons contacté WebMD Health Services, la société propriétaire de la plateforme TinyPulse, pour obtenir plus d’informations sur cet incident et son impact, mais nous n’avons pas reçu de réponse avant la publication.
Shadowbyt3$ réclame une rançon de 2 millions de dollars
Alors que Nintendo affirme que seules des enquêtes internes ont été exposées, le groupe Shadowbyt3$ prétend que les informations volées incluent des détails personnels sur les employés.
Dans un premier message, les pirates ont déclaré avoir volé près d’un gigaoctet de données chez Nintendo et avoir donné 48 heures à l’entreprise pour entamer des négociations, sous peine de divulguer les informations.
Selon les cybercriminels, les données dérobées contiennent des noms complets, des adresses électroniques, des données analytiques et d’enquêtes, des relevés bancaires, ainsi que des formulaires W-9 avec des identifiants employés, des plans de progression et des rapports datant de 2016 à 2026.
« Si vous nous contactez, nous vous accordons un jour supplémentaire pour réfléchir. Nous exigeons un paiement de rançon de 2 millions de dollars », peut-on lire dans la publication de Shadowbyt3$.
source : Kela
Dans un second message, les pirates ont précisé que « cette fuite n’affecte pas les jeux Nintendo » mais « un petit nombre d’employés qui travaillent pour Nintendo et ont utilisé TinyPulse. »
Une autre publication de Shadowbyt3$ a averti qu’il y aurait d’autres victimes et a fourni un lien vers des données divulguées, qui comprendraient notamment des messages directs et des conversations entre employés, ce qui suggère que Nintendo n’a pas accepté de payer la rançon.
Nous n’avons pas téléchargé les données divulguées et ne pouvons pas en vérifier l’authenticité. Même si les informations s’avèrent véridiques, les données des clients de Nintendo ne sont pas affectées par cette fuite, et les détenteurs de comptes n’ont aucune mesure à prendre.
ShadowByt3$ est un groupe cybercriminel relativement nouveau qui se décrit comme un « groupe extorsion en tant que service » et opère depuis octobre 2025. La bande divulgue les données volées aux entreprises victimes qui refusent de payer une rançon et affirme qu’en cas d’accord, toutes les données « seront supprimées définitivement et vous n’entendrez plus parler de nous. »
Les autorités déconseillent fortement de payer les pirates, car cela encourage de futures attaques. De plus, rien ne garantit que les cybercriminels ne revendront pas les informations en privé.