供應鏈缺口|任天堂員工資料遭勒索集團盜取 官、黑說法不一純粹靠嚇?
任天堂美國分公司早前承認公司內部採用的員工問卷平台遭受黑客入侵,部分員工資料外洩。據知事件起源於由醫療資訊集團 WebMD 旗下子公司 TinyPulse 營運的第三方內部評估服務,任天堂強調外洩數據僅涉及少數員工的匿名問卷及部分舊資料,與核心遊戲系統、玩家帳戶及財務資料無關。不過,承認發動攻擊的勒索組織 Shadowbyt3$ 就強調,掌握的數據絕不止這麼簡單。
Shadowbyt3$ 在自己的爆料平台上聲稱,盜取的資料不限於問卷內容,而是包含員工姓名、電郵地址、銀行對賬單、美國稅務表格 W-9,以及橫跨 2016 至 2026 年的員工 ID、晉升計劃與內部報告等合共近 1GB 的資料。
任天堂未有回應
組織最初給予任天堂 48 小時限期談判,並開出 200 萬美元贖金的條件,聲稱若對方拒絕付款,將會分批公開相關資料。可能任天堂沒有作出回應,其後 Shadowbyt3$ 便按原定計劃行事,公開了疑似員工之間的直接對話截圖。
到底黑客是否真的掌握機密資料,還是在打心理戰?回看 2025 年 10 月,黑客組織 Crimson Collective 同樣高調聲稱成功攻入任天堂內部系統,並在網絡廣泛流傳多張疑似截圖,聲稱內容涉及未公開遊戲開發項目、內部會議記錄及商業機密文件,成為玩家社群的花生熱話。不過後來事件急轉直下,任天堂透過日本《產經新聞》正式澄清,黑客實際上只成功篡改顯示官方網站內容的外部公開網頁伺服器,並確認核心內部系統從未被入侵。
換言之,Crimson Collective 的行動純粹靠嚇,而所謂的機密資料在後來亦未見曝光。這次Shadowbyt3$ 聲稱掌握的 1GB 資料是否價值連城,目前無從核實。不過無論黑客是否講大話,都不能否認 TinyPulse 平台確實曾遭到入侵。
企業容易忽略第三方服務供應商
安全業界將這種入侵手法稱為「供應鏈攻擊」(Supply Chain Attack),其致命性在於大型企業雖然在自身系統投入大量安全資源,卻忽略了日常依賴的第三方服務供應商,例如問卷平台、人力資源軟件、分析工具等,這些服務供應商的安全標準參差不齊,卻因可以接觸到企業敏感資料而備受黑客關注。
就今次事件的實際影響來說,普通玩家及消費者目前毋須採取特別行動,因為受影響範圍明確限於美國分公司員工的內部問卷資料。不過,考慮到大如任天堂在一年內都發生過兩次資安事件,建議用家仍應定期登入 Nintendo 帳戶設定頁面檢視登入記錄,並確保已啟用雙重認證功能,盡量做好自己本份。
