员工数据面临泄露风险 任天堂硬刚黑客拒付200万美元赎金

此前，黑客组织ShadowByt3$声称通过第三方员工反馈平台TinyPulse窃取了任天堂美国公司的大量内部数据，并向任天堂索要200万美元赎金，否则将公开所有资料。

然而，任天堂选择了正面硬刚——拒绝支付赎金，并强调泄露数据并非核心机密。

ShadowByt3$宣称获取了约859MB的员工数据，涵盖员工全名、邮箱地址、银行流水PDF、W-9税务表单、内部调研反馈以及工作沟通记录等敏感信息，时间跨度从2016年至2026年。

该黑客组织自称为“勒索即服务”团伙，其在6月13日发起攻击后，给任天堂设置了48小时的回应期限。

面对勒索，任天堂美国公司迅速发布官方声明，确认了数据泄露事件，但大幅降低了事件的严重性。

声明指出：“任天堂的系统并未遭到入侵，没有任何客户个人信息或财务数据被访问。受影响的数据仅限于一小部分员工的内部调查内容，且大部分信息已是数年前的旧数据。” 这意味着普通玩家的账户信息、游戏记录和支付数据均未受到波及，Switch和Switch 2的网络服务也一切正常。

在被任天堂拒绝后，ShadowByt3$迅速将勒索目标转向了TinyPulse平台本身。该组织公开表示：“任天堂决定不支付赎金，所以我们要求TinyPulse付款，否则所有数据都将被公开，包括任天堂员工的私人信息。”

然而，戏剧性的一幕出现了——据X平台用户爆料，该黑客组织在发布入侵证明截图时，意外暴露了数据的实际下载链接。虽然该链接已被撤下，但这一“自爆”行为让勒索行动的 credibility 大打折扣。

此次事件的核心漏洞在于第三方服务商TinyPulse。这是一款用于员工互动反馈的HR工具，任天堂美国公司利用其开展内部员工调查。黑客没有直接攻击任天堂防护严密的核心系统，而是选择了防护相对薄弱的第三方SaaS平台作为突破口。

这种“供应链攻击”模式已成为近年网络安全的新趋势——大厂主系统难以攻破，攻击者便转向合作服务商寻找漏洞。

任天堂在声明中确认，正与TinyPulse合作处理此次安全隐患。但截至目前，TinyPulse方面尚未就黑客威胁或谈判进展做出公开回应。