De acordo com uma reportagem publicada pelo Kotaku, a Nintendo afirmou estar ciente de um problema envolvendo a TinyPulse, serviço terceirizado usado pela Nintendo of America em pesquisas internas com funcionários, após um grupo ameaçar divulgar supostos dados privados de funcionários.
O grupo, conhecido como ShadowByt3$ e tratado pela reportagem como ShadowBytes, alegou ter obtido “859,0 MB” de dados privados de funcionários da Nintendo. Segundo a ameaça publicada pelo grupo em seu próprio site no dia 12 de junho, o material supostamente incluiria uma lista de e-mails de funcionários, nomes completos, extratos bancários e conversas privadas. O grupo exigiu um pagamento de US$ 2 milhões para não divulgar os dados.
Na mensagem inicial, o ShadowBytes afirmou que a Nintendo teria 48 horas para entrar em contato. A ameaça dizia: “Vocês têm 48 horas para nos contatar, Nintendo, ou todos os dados serão vazados”. O grupo também afirmou que, caso houvesse contato, daria mais um dia para a empresa avaliar a situação.
Conforme detalhado em uma publicação na plataforma de inteligência de fontes abertas RansomLook, uma segunda ameaça teria sido publicada pelo grupo em 14 de junho. Nela, o ShadowBytes passou a pressionar a TinyPulse, alegando que a Nintendo “decidiu não pagar” o resgate. A mensagem dizia que a TinyPulse teria até 16 de junho de 2026 para entrar em contato por Telegram ou e-mail.
Na segunda ameaça, o grupo afirmou que, caso não houvesse um acordo, os dados seriam divulgados, incluindo mensagens privadas de funcionários da Nintendo. A reportagem descreve a TinyPulse como uma solução de engajamento e feedback de funcionários usada por empresas para medir e melhorar a cultura interna, aumentar a retenção de funcionários e facilitar a comunicação dentro da organização.
O Kotaku também menciona que um usuário no X publicou capturas de tela de parte das supostas informações contidas em um link do mega.io usado como “prova” pelo grupo. Segundo esse usuário, o conteúdo teria ficado acessível porque um dos prints publicados pelo grupo não teria ocultado corretamente o link de download. O link, porém, já estava inacessível no momento da reportagem, e a autenticidade das capturas não pôde ser verificada.
Entre as supostas conversas internas mencionadas na reportagem, algumas indicariam que a Nintendo of America estaria incorporando a ferramenta de IA Microsoft Copilot em seu trabalho, em uma capacidade não confirmada. Um dos trechos atribuídos ao material dizia: “Estou um pouco preocupado com o impulso pela ferramenta de IA Copilot. Não acho que estamos considerando os pontos negativos de depender demais de IA.”
Em resposta enviada ao Kotaku, a Nintendo of America afirmou que seus sistemas não foram comprometidos e que nenhum dado pessoal de clientes ou dado financeiro foi acessado. A empresa também disse que o conteúdo envolvido se limita a pesquisas internas com uma pequena parcela de seus funcionários.
“Estamos cientes de um problema envolvendo a TinyPulse, um serviço terceirizado usado para pesquisas internas com funcionários na Nintendo of America. Os sistemas da Nintendo não foram comprometidos, e nenhum dado pessoal de clientes ou dado financeiro foi acessado. Os dados envolvidos se limitam a conteúdo de pesquisas internas que compreende um pequeno subconjunto de nossos funcionários, e a maior parte das informações data de vários anos atrás.”
“Agradecemos a disposição de nossos funcionários em compartilhar suas perspectivas, levamos todos os feedbacks a sério e tomamos medidas quando necessário. Estamos trabalhando com o provedor do serviço para resolver o problema.”
Discussões sobre isso post