SHADOWBYT3$ adıyla faaliyet gösteren bir tehdit aktörü, 13 Haziran 2026’da Nintendo’ya ait yaklaşık 859 MB çalışan verisini çaldığını öne sürdü. Saldırı, oyun şirketinin temel altyapısı yerine üçüncü taraf bir insan kaynakları platformu olan TINYpulse hedef alınarak gerçekleştirildiği iddia ediliyor. Ne Nintendo ne de TINYpulse ihlali doğruladı; iddia edilen veriler henüz doğrulanamış değil.
Detaylar haberimizde…
Kendisini “hizmet olarak gasp” operasyonu olarak tanımlayan grup, sızdırıldığı öne sürülen verilere ait bir dosya ağacıyla birlikte iddialarını yeraltı forumlarında yayımladı. Gönderiye göre söz konusu veri kümesinin; çalışanların tam adlarını, kurumsal e-posta adreslerini, banka hesap özeti PDF’lerini, çalışan kimlik numaraları içeren W-9 vergi formlarını, iç anketleri, etkileşim analizlerini ve 2016’dan Haziran 2026’ya kadar uzanan işyeri geri bildirim kayıtlarını kapsadığı belirtildi.
İddia ve Nintendo İçin Son Tarih
SHADOWBYT3$, 48 saatlik bir süre tanıyarak 15 Haziran’a kadar 2 milyon dolarlık fidye talep etti ve ödeme yapılmaması hâlinde verilerin forum emanet hizmetleri aracılığıyla sızdırılacağını ya da satışa çıkarılacağını açıkladı. Nintendo’nun müzakereye yanaşmaması üzerine grup, hedefini TINYpulse’a çevirdi; son tarihi 16 Haziran’a uzatarak şu açıklamayı yaptı: “Onlar ödemeyi reddetti, bu yüzden TINYpulse’dan talep ediyoruz; aksi takdirde tüm veriler sızdırılacak.”
Üçüncü Taraf Bir Saldırı Vektörü
TINYpulse, artık bir WebMD Health Services ürünü olup kuruluşların işyeri anketleri yürütmek ve performans ölçütlerini takip etmek amacıyla kullandığı, bulut tabanlı bir çalışan bağlılığı ve geri bildirim platformu. Siber güvenlik analistleri, saldırı vektörünün oyun devinin iç ağına sızılmasıyla değil, TINYpulse platformundaki ele geçirilmiş bir yönetici kimlik bilgisiyle sınırlı kaldığına dikkat çekti.
Tehdit istihbarat firması VECERTRadar, “Bu, büyük ölçekli bir kurumsal ağ ihlaline kıyasla oldukça sınırlı bir güvenlik açığıdır” diyerek Nintendo of America’nın TINYpulse hesabı için kimlik bilgilerinin derhal iptal edilmesini ve kiracı izolasyonunun uygulanmasını önerdi.
Doğrulanmamış Ama Endişe Verici
Pazartesi itibarıyla Nintendo, ihlali kabul eden ya da reddeden herhangi bir kamuoyu açıklaması yapmadı. Siber güvenlik izleme platformu Hackmanac, olayı “doğrulama bekliyor” statüsünde işaretlerken ESIX önem puanını 5,60 olarak belirledi. Nintendo Life ise ihlalin “henüz doğrulanmadığını” aktarırken, iddia edilen verilerin —özellikle finansal belgelerin— hassas niteliğinin, gerçek olması halinde ciddi bir tehdit oluşturacağına dikkat çekti.
Bu olay, saldırganların hedefin birincil sistemlerine sızmak yerine üçüncü taraf tedarikçileri istismar ettiği tedarik zinciri saldırıları örüntüsüyle örtüşüyor. Nintendo, daha önce Ekim 2025’te yaşanan ve Crimson Collective adlı farklı bir gruba atfedilen, harici web sunucularını etkileyen ayrı bir ihlali de teyit etmişti; ancak şirket, söz konusu olayda hassas herhangi bir verinin ele geçirilmediğini açıklamıştı.
