任天堂遭黑客入侵被勒索200万美金 黑客组织晒出内部资料截图

2026年6月13日，一个名为SHADOWBYT3$的黑客组织声称通过第三方人力资源管理平台TINYpulse成功入侵了任天堂的内部系统，窃取了约859MB的敏感数据，并向任天堂索要200万美元赎金。

截至6月16日，任天堂官方尚未就此事发表任何正式声明，事件真实性仍处于待验证状态。

TINYpulse是一款企业级员工敬业度调查与工作反馈平台，主要用于匿名问卷收集、员工情绪分析及内部沟通管理。

任天堂引入该系统旨在监测办公氛围、收集员工反馈，但攻击者正是利用了TINYpulse系统的漏洞——而非直接攻破任天堂核心基础设施——完成了数据窃取。

这一攻击模式凸显了当前网络安全领域日益严重的供应链风险：即便企业自身防线固若金汤，第三方合作伙伴的安全水位若参差不齐，同样可能成为被攻破的突破口。

据SHADOWBYT3$自述，被盗数据总量约859MB，以电子表格、办公文档等轻量化文件为主。

具体泄露内容涵盖员工身份信息，包括员工姓名、电子邮箱、员工ID；财务敏感文件，包括银行对账单PDF、W-9税务表单，其中税务识别号可能被用于身份盗窃及金融诈骗；内部工作记录，包括企业调研问卷、分析报告、工作环境反馈、员工工作进度日志；以及内部沟通记录，包括长达数年的职场情绪分析数据及内部通信记录。

其中，W-9表单及银行对账单的泄露尤为棘手——这些信息一旦落入网络诈骗分子手中，可能直接引发针对任天堂员工的二次身份盗窃与金融欺诈威胁。

根据网络安全监测平台Hackmanac的初步评估，本次事件的ESIX信息暴露指数评分为5.60，属于中等潜在影响级别，但仍足以触发安全团队的高度警惕。

需要注意的是，ESIX 5.60反映的是“已声称泄露的数据敏感度与潜在扩散范围”，而非最终损害确认——在官方验证前，仍需审慎看待黑客的自述声明。

有网络安全研究机构在对黑客公布的数据样本进行分析后指出，部分数据看起来是可信的。样本中包含了员工敬业度调查和工作场所反馈记录，最早可追溯至2016年，这支持了黑客声称被盗信息跨越十年（2016至2026年）的说法。

研究人员还发现样本中提及的一些员工目前仍在任天堂任职，这为部分泄露数据增添了额外的可信度。此外，部分导出文件的元数据显示其创建日期为2026年1月28日，表明至少有一部分记录是在近期被访问或导出的。

这并非任天堂首次遭遇黑客攻击。2020年的“Gigaleak”事件曾导致超过2TB的Wii源代码、设计文档及N64技术演示文件外泄；2024年，合作伙伴Game Freak遭黑客入侵，导致大量《宝可梦》开发资料提前曝光；2025年10月，黑客组织Crimson Collective又声称窃取超过570GB核心数据，包括开发者预览版本与预算信息。

此次SHADOWBYT3$的攻击，尽管数据量不大，但在攻击路径上，标志着攻击者策略的进一步演变：从盗取游戏内容转向勒索人力资源数据。

在官方调查与核实结果公布前，本次事件仍属声称阶段。但无论实锤与否，其折射出的第三方SaaS平台数据安全风险已是业界久治不愈的顽疾。诸多企业广泛采用如TINYpulse等员工参与平台，却往往忽视其安全审计与准入控制能力。