Skip to content
Cyber Breaches
Recherche
Fuite de donnéesEn cours

Vol de données d'enquêtes internes de Nintendo via la plateforme tierce TinyPulse

Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme RH tierce qu'elle utilisait, après que le groupe SHADOWBYT3$ a prétendu avoir exfiltré environ 859 Mo de données et réclamé une rançon de 2 millions de dollars — tout en soulignant que les systèmes et les données clients de Nintendo n'avaient pas été touchés.

Victime
Nintendo of America
SecteurTechnologie
PaysÉtats-Unis
GroupeSHADOWBYT3$

Le 18 juin 2026, Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme tierce d'engagement et de retour RH (exploitée par WebMD Health Services) qu'elle utilisait en interne. Cette divulgation faisait suite aux revendications du groupe d'extorsion SHADOWBYT3$, qui affirmait avoir exfiltré environ 859 Mo de données et réclamait une rançon de 2 millions de dollars.

Ce qui s'est passé

SHADOWBYT3$ a formulé sa revendication vers le 13 juin 2026, affirmant que les données TinyPulse dérobées comprenaient des noms d'employés, des adresses e-mail, des analyses et réponses aux enquêtes, ainsi que des rapports internes connexes. Le groupe a menacé de publier ces éléments à défaut de paiement de Nintendo. Les attaquants ont eux-mêmes précisé que l'incident ne touchait pas l'activité de jeu vidéo de Nintendo, décrivant son impact comme limité à « un petit nombre d'employés de Nintendo ayant utilisé TinyPulse ».

Nintendo of America a confirmé le vol de données d'enquêtes internes auprès du service tiers, tout en insistant sur le fait que ses propres systèmes n'avaient pas été compromis et qu'aucune donnée personnelle de client ni donnée financière n'avait été consultée. Les informations concernées se limitaient à du contenu d'enquêtes internes impliquant un petit sous-ensemble d'employés.

Pourquoi c'est important

Cet incident rappelle que le risque fournisseur est un risque de première partie : même lorsque les systèmes centraux d'une entreprise tiennent bon, des données sensibles d'employés confiées à une plateforme RH externe peuvent devenir un levier d'extorsion. Pour une marque aussi scrutée que Nintendo, une simple revendication de fuite par un attaquant génère une attention considérable, indépendamment de la portée relativement restreinte, et l'épisode souligne pourquoi les organisations doivent recenser les tiers qui détiennent les données de leurs effectifs et leur imposer les mêmes normes de sécurité et de réponse aux incidents qu'à leurs systèmes internes.

Impact financier

Coûts déclarés en USD

Rançon demandée
$2.0M
Rançon payée
Refusée

    Chronologie

    1. Le groupe SHADOWBYT3$ revendique une intrusion chez Nintendo via la plateforme RH tierce TinyPulse, affirmant avoir dérobé environ 859 Mo de données et réclamant une rançon de 2 millions de dollars.

    2. Nintendo of America confirme à BleepingComputer que des attaquants ont dérobé des données d'enquêtes internes auprès du service tiers TinyPulse, déclare que ses propres systèmes n'ont pas été compromis et précise qu'aucune donnée client ou financière n'a été consultée.

    Sources

    1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/nintendo-confirms-data-stolen-in-webmd-subsidiary-cyberattack/
    2. scworld.comhttps://www.scworld.com/brief/nintendo-confirms-employee-survey-data-stolen-from-third-party-service
    3. cyberpress.orghttps://cyberpress.org/shadowbyt3-claims-breach-nintendo/
    4. nintendolife.comhttps://www.nintendolife.com/news/2026/06/hacker-group-steals-nintendo-employee-data-posts-usd2-million-ransom

    Incidents liés

    Fuite de donnéesEn cours

    Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

    L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

    Victim
    Eastman Kodak
    Records
    2.2M
    Fuite de donnéesRançon payée

    Fuite ShinyHunters chez Instructure Canvas LMS (2026)

    ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

    Victim
    Instructure (Canvas LMS)
    Loss
    $10.0M
    Records
    275.0M
    Fuite de donnéesRésolu

    Fuite de numéros de sécurité sociale National Public Data

    Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

    Victim
    National Public Data (Jerico Pictures, Inc.)
    Records
    2.90B
    Fuite de donnéesContenu

    Compromission en deux temps de LastPass et vol des coffres clients (2022)

    Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

    Victim
    LastPass