Nach Angaben von Nintendo betrifft der Vorfall TinyPulse, einen Drittanbieterdienst, der bei Nintendo of America für interne Mitarbeiterumfragen genutzt wird. Das Unternehmen erklärte gegenüber BleepingComputer, die eigenen Systeme seien nicht kompromittiert worden. Zudem seien weder persönliche Kundendaten noch Finanzdaten abgerufen worden.

Nintendo beschrieb den betroffenen Datenbestand als interne Umfrageinhalte, die nur einen kleinen Teil der Beschäftigten betreffen. Der Großteil dieser Informationen stamme bereits aus mehreren Jahren zurück. Nintendo of America ist eine Tochter des japanischen Spieleunternehmens und für das Geschäft in den USA, Kanada und Teilen Lateinamerikas zuständig.

TinyPulse ist eine Plattform für Mitarbeiterbindung und Feedback. Sie wird für anonyme Mitarbeiterbefragungen, Auswertungen zur Mitarbeiterbindung, das Sammeln von Rückmeldungen und die Bewertung der Arbeitsplatzkultur eingesetzt. Nintendo teilte mit, man arbeite mit dem Dienstleister zusammen, um das Problem zu beheben.

BleepingComputer fragte auch WebMD Health Services, den Eigentümer der TinyPulse-Plattform, nach weiteren Informationen über den Vorfall und dessen Auswirkungen. Bis zur Veröffentlichung lag darauf laut dem Bericht keine Antwort vor.

Die Erpressergruppe Shadowbyt3$ stellte den Vorfall deutlich weitergehend dar als Nintendo. Nach Darstellung der Gruppe wurden sensible Daten zu Mitarbeitern von Nintendo of America exfiltriert. In einer ersten Nachricht erklärte der Angreifer, man habe knapp 1 Gigabyte an Daten von Nintendo entwendet und dem Unternehmen 48 Stunden Zeit für Verhandlungen gegeben, bevor die Informationen veröffentlicht würden.

Laut Shadowbyt3$ umfassen die gestohlenen Daten vollständige Namen, E-Mail-Adressen, Analyse- und Umfragedaten, Kontoauszüge sowie W-9-Formulare mit Mitarbeiterkennungen, Fortschrittsplänen und Berichten aus den Jahren 2016 bis 2026. Die Gruppe forderte nach eigener Aussage ein Lösegeld von 2 Millionen Dollar und schrieb: „Wenn Sie uns kontaktieren, geben wir Ihnen einen zusätzlichen Tag, um darüber nachzudenken.“

In einer zweiten Nachricht präzisierte Shadowbyt3$, der „Einbruch betreffe nicht Nintendos Spielegeschäft“, sondern „eine kleine Zahl von Mitarbeitern, die für Nintendo arbeiten und TinyPulse genutzt haben“. In einem weiteren Beitrag warnte die Gruppe vor weiteren Opfern und veröffentlichte einen Link zu angeblich geleakten Daten, darunter Direktnachrichten und Gespräche zwischen Beschäftigten. Das deutet nach Darstellung von BleepingComputer darauf hin, dass Nintendo keiner Lösegeldzahlung zugestimmt hat.

BleepingComputer lud die veröffentlichten Daten nach eigenen Angaben nicht herunter und konnte ihre Echtheit daher nicht bestätigen. Selbst wenn die Informationen echt sein sollten, seien Kundendaten von Nintendo von diesem Vorfall nicht betroffen. Shadowbyt3$ beschreibt sich selbst als relativ neue Gruppe für „Erpressung als Dienstleistung“, die seit Oktober 2025 aktiv sei und gestohlene Daten von Unternehmen veröffentliche, die kein Lösegeld zahlen.