// TOM'S HARDWARE ITALIA — GAMING
Nintendo conferma il furto dati, ma gli utenti sono salvi
Nintendo of America ha confermato un furto di dati collegato a TinyPulse, piattaforma di survey interne controllata da WebMD Health Services. La società precisa che i propri sistemi non sono stati compromessi e che non risultano coinvolti dati personali dei clienti, account di gioco o informazioni finanziarie. L'incidente riguarda invece contenuti legati a sondaggi interni e a un sottoinsieme di dipendenti.
La conferma arriva dopo le rivendicazioni del gruppo Shadowbyt3$, che descrive l'operazione come un caso di estorsione su dati aziendali. Secondo quanto riportato, il gruppo avrebbe dichiarato di possedere quasi 1 GB di materiale e avrebbe chiesto 2 milioni di dollari per non pubblicarlo. Nintendo ridimensiona il perimetro, spiegando che la maggior parte delle informazioni risale a diversi anni fa e riguarda il servizio terzo.
Il caso evidenzia un problema ricorrente: un'azienda può proteggere i propri sistemi principali e trovarsi comunque esposta tramite strumenti HR, analytics o piattaforme di feedback. I servizi pensati per raccogliere opinioni interne possono contenere dati dei dipendenti, informazioni sensibili, clima aziendale, valutazioni o comunicazioni. Anche senza impatto sui clienti, il valore per un gruppo estorsivo resta concreto.
Nintendo afferma di lavorare con il provider per affrontare il problema. BleepingComputer non ha verificato direttamente i dati pubblicati dal gruppo, e questo punto resta importante: le rivendicazioni criminali possono essere gonfiate, selettive o manipolate. Allo stesso tempo, la conferma aziendale indica che un incidente reale c'è stato, anche se circoscritto rispetto a quanto sostenuto dagli attaccanti.
Per gli utenti Nintendo, la comunicazione più rilevante è che non emergono azioni necessarie sugli account. La società esclude al momento accessi a dati clienti o finanziari. Per i dipendenti coinvolti, invece, il rischio dipende dalla natura dei contenuti sottratti e dalla presenza di informazioni identificative, documenti fiscali, report interni o conversazioni.
Il caso rientra in una tendenza più ampia di attacchi contro fornitori SaaS collegati a grandi marchi. Gli attaccanti non cercano sempre il database clienti principale: spesso puntano su servizi laterali con controlli meno rigidi, contratti estesi e integrazioni profonde. La gestione del rischio terze parti diventa quindi una parte concreta della sicurezza, non una casella da spuntare nei questionari.