2026年6月中旬,網絡犯罪組織SHADOWBYT3$宣稱攻破任天堂數據係統並發起勒索。
此次攻擊未觸及任天堂遊戲核心係統,黑客利用第三方人力資源平台竊取企業內部數據,並向任天堂索要200萬美元贖金(折合人民幣約1430萬元),揚言超時未回應就公開泄露所有數據。
任天堂暫未對此事作出官方回應,網絡安全分析師持續跟進事件進展。本次事件也體現出當下網絡攻擊的新趨勢,黑客更傾向於攻擊企業第三方配套軟件,而非核心業務係統。
該犯罪團夥通過任天堂使用的TINYpulse員工互動平台,竊取了約859MB的內部數據,數據總量接近1GB。團夥給到任天堂48小時的回應期限,全程勒索意圖明確,也給任天堂造成了極大的安全與輿論壓力。
本次泄露數據均為任天堂員工相關信息,不涉及普通玩家的遊戲數據。被盜內容包含員工姓名、郵箱、工號等基礎信息,還有銀行流水PDF、W-9稅務表單等私密財務資料,同時涵蓋平台留存的人力分析報表、員工調研數據、崗位敬業度統計等內部運營信息。
泄露數據還包含企業內部溝通記錄與員工情緒分析數據,其中有員工職場匿名反饋、內部工作溝通記錄和優秀員工排名等私密內容。數據時間跨度長達十年,覆蓋2016年至2026年,一旦全部公開,會對任天堂的企業口碑和員工權益造成嚴重損害。
本次攻擊采用了行業主流的新型入侵方式。黑客避開了任天堂防護嚴密的核心係統,將防護較弱的第三方SaaS服務平台作為突破口。企業對接第三方辦公平台雖能提升辦公效率,但也會暴露安全短板,讓黑客有機可乘,繞過核心防護竊取內部數據。
