文章总结： 第三方HR平台TinyPulse遭Shadowbyt3$勒索组织供应链攻击，导致任天堂美国员工2016-2026年人事数据泄露，含W-9税务表格、银行对账单等敏感信息。任天堂拒绝支付200万美元赎金后黑客公开部分数据，建议受影响员工立即设置信用冻结并监控纳税申报。 综合评分： 72 文章分类： 数据泄露,供应链安全,漏洞预警,安全事件,应急响应

任天堂美国员工数据遭泄露，第三方HR平台被勒索组织攻破

FreeBuf FreeBuf

FreeBuf

2026年6月21日 18:00 上海

在小说阅读器读本章

去阅读

第三方人力资源平台TinyPulse遭遇供应链攻击，导致任天堂美国分公司员工记录遭窃。在臭名昭著的Shadowbyt3$勒索组织发布声明后，任天堂已确认此次数据泄露事件。

攻击者并未突破任天堂自身网络边界，而是入侵了TinyPulse的云环境。该平台由WebMD Health Services运营，主要提供员工调查、反馈及劳动力分析服务。由于TinyPulse汇总了大量客户企业的员工指标和人事信息，其基础设施存储着海量可识别身份的员工数据。

Part01

攻击细节与责任归属

2025年10月出现的勒索即服务组织Shadowbyt3$于2026年6月12日宣称实施此次攻击，并向任天堂索要200万美元赎金以阻止数据公开。该组织给出48小时支付期限，但这家游戏巨头拒绝谈判。

在任天堂拒绝付款后，Shadowbyt3$转而向TinyPulse提出经济要求，设定6月16日为第二期限。期限届满未获支付，该组织开始在其暗网平台泄露数据样本。

Shadowbyt3$声称窃取了859MB数据集（涵盖2016至2026年初记录），而任天堂官方声明称泄露数据仅限于往年部分内部员工调查反馈。黑客仍坚称文件包含：

• 银行对账单PDF
• 员工姓名与企业邮箱
• 含员工识别号的W-9税务表格
• 员工间私信及内部聊天记录
• 人力资源分析报告与员工发展计划

安全专家已验证泄露样本中多名可识别人员确系任天堂美国现职员工。

Part02

企业员工面临的持续安全风险

W-9税务文件与财务记录泄露将带来长期身份盗用风险，黑客常利用此类信息提交欺诈性纳税申报并截留退税款。同时，精准的银行信息可被用于制作针对性钓鱼邮件。

由于TinyPulse采用多租户软件架构服务数百家企业客户，使用该平台的其他企业可能面临类似数据泄露风险。

任天堂确认事件影响范围仅限于美国分公司员工，但仍建议所有使用TinyPulse平台的员工立即在Equifax、Experian和TransUnion等征信机构设置信用冻结，并密切监控纳税申报是否存在未授权变更。

参考来源：

Nintendo America Employee Data Exposed After Shadowbyt3$ Targets TinyPulse

Nintendo America Employee Data Exposed After Shadowbyt3$ Targets TinyPulse

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf FreeBuf FreeBuf《任天堂美国员工数据遭泄露，第三方HR平台被勒索组织攻破》