Um grupo de piratas informáticos que se apresenta como uma organização de extorsão por encomenda está a tentar pressionar a Nintendo a pagar 2 milhões de dólares, depois de alegar ter roubado dados internos de funcionários da empresa através de uma plataforma externa de inquéritos a colaboradores. A Nintendo já reagiu publicamente ao caso, garantindo que os seus próprios sistemas nunca foram comprometidos.
O grupo, que se identifica como ShadowByt3$, afirma ter conseguido aceder a cerca de 859 megabytes de dados através da TinyPulse, uma plataforma de terceiros utilizada pela Nintendo da América para recolher feedback interno dos seus colaboradores. Segundo o próprio grupo, o conjunto de dados alegadamente obtido incluiria nomes e endereços de email de funcionários, inquéritos internos, relatórios analíticos, documentos bancários em formato PDF e formulários fiscais W-9.
A ameaça inicial foi publicada no próprio site do grupo a 12 de junho, dando à Nintendo um prazo de 48 horas para entrar em contacto, sob pena de todos os dados serem divulgados publicamente. O grupo chegou mesmo a oferecer um dia adicional de prazo caso a empresa decidisse responder ao contacto.
A resposta da Nintendo
Face às acusações, a Nintendo emitiu um comunicado oficial onde reconhece o incidente, mas desvaloriza significativamente a sua gravidade. A empresa afirma: “Estamos cientes de uma situação que envolve a TinyPulse, um serviço de terceiros utilizado para inquéritos internos a colaboradores na Nintendo da América. Os sistemas da Nintendo não foram comprometidos, e não foi acedido qualquer dado pessoal de clientes ou dados financeiros. Os dados envolvidos limitam-se a conteúdo de inquéritos internos, abrangendo um pequeno subconjunto dos nossos colaboradores, sendo que a maior parte da informação remonta a vários anos atrás”.
A Nintendo acrescentou ainda: “Valorizamos a disponibilidade dos nossos colaboradores para partilhar as suas perspetivas, levamos todo o feedback a sério e atuamos sempre que necessário. Estamos a trabalhar com o fornecedor do serviço para resolver a situação”.
O grupo muda de alvo depois do silêncio da Nintendo
Sem resposta da Nintendo ao pedido de resgate, o grupo decidiu alterar a sua estratégia e voltou-se diretamente contra a própria TinyPulse. Segundo um segundo comunicado divulgado pelo grupo na plataforma de informação aberta RansomLook, a TinyPulse teria até 16 de junho para contactar o grupo via Telegram ou email, sob pena de todos os dados serem divulgados, incluindo o que descreveram como mensagens privadas de funcionários da Nintendo.
O grupo foi ainda mais longe nas suas declarações, sugerindo ter encontrado indícios de descontentamento entre os colaboradores da empresa. Parte da informação alegadamente recolhida já terá começado a circular online, incluindo screenshots que mostram supostas conversas internas de funcionários sobre a utilização de ferramentas de inteligência artificial, como o Copilot, no ambiente de trabalho.
Curiosamente, segundo relatos recolhidos nas redes sociais, o próprio grupo de piratas informáticos terá cometido um erro crítico ao divulgar, sem querer, uma das ligações de download dos dados numa das suas próprias capturas de ecrã usadas como prova do ataque. Essa ligação já foi entretanto desativada, mas o episódio lança dúvidas sobre a competência técnica por detrás desta tentativa de extorsão.
Este tipo de ataque, que tem como alvo fornecedores externos de software em vez da própria empresa visada, é uma tática cada vez mais comum entre grupos de cibercriminalidade, uma vez que estas plataformas de terceiros costumam ter defesas mais frágeis do que as das grandes corporações que servem.
