A gigante dos videojogos está a enfrentar um potencial incidente de segurança. Um pirata informático afirma ter roubado quase uma década de dados internos da empresa e exige um resgate de dois milhões de dólares para evitar que a informação seja publicada na Internet.
De acordo com o site TechRepublic, embora a empresa nipónica ainda não tenha confirmado a alegada falha de segurança, investigadores da Cybernews analisaram amostras dos dados divulgados e indicam que partes do material parecem credíveis. Este revés surge numa altura em que a fabricante celebra o sucesso do seu novo hardware, com a Switch 2 a aproximar-se a passos largos da marca dos 20 milhões de unidades comercializadas.
Detalhes do incidente e dados expostos
O autor da ameaça, conhecido como ShadowByte$, publicou as alegações num fórum de cibercrime. Uma amostra de 859 MB pertencente aos dados supostamente roubados inclui nomes de funcionários, endereços de correio electrónico das empresas, inquéritos de satisfação laboral, relatórios internos, métricas de desempenho e documentos de planeamento.
Os investigadores encontraram sinais de que a informação pode ser autêntica. As amostras incluem inquéritos aos trabalhadores e registos de feedback que remontam a 2016. Além disso, foram identificadas referências a pessoas que parecem ainda estar a trabalhar na Nintendo, o que dá mais credibilidade à fuga de dados.
A origem da falha de segurança
Apesar das provas encontradas, ainda não é claro como os dados foram obtidos. As amostras disponíveis não fornecem indícios suficientes para determinar se a infra-estrutura da Nintendo foi directamente comprometida ou se os atacantes conseguiram acesso através de um fornecedor externo.
O pirata informático fez referência à TinyPulse, uma plataforma utilizada por várias empresas para recolher feedback anónimo e medir a satisfação dos funcionários. Se esta informação for exacta, o incidente sublinha os riscos crescentes associados a aplicações de terceiros que armazenam dados sensíveis.
Como mitigar os riscos de terceiros
Embora a situação ainda careça de confirmação oficial, as equipas de segurança podem usar este caso para rever os protocolos. É recomendável adoptar as seguintes medidas:
- Realizar avaliações de segurança regulares aos fornecedores externos de recursos humanos e gestão de pessoal, de forma a identificar e resolver potenciais vulnerabilidades antes que sejam exploradas.
- Aplicar controlos de acesso rigorosos, o que inclui a autenticação multifactor, permissões de privilégio mínimo e revisões rotineiras aos acessos dos utilizadores.
- Monitorizar as plataformas de software como serviço (SaaS) para detectar acessos não autorizados, actividades invulgares e exportações de dados em grande escala que possam indicar roubo de informação.
- Implementar controlos de prevenção de perda de dados e encriptação para proteger informações sensíveis dos funcionários, relatórios internos e dados organizacionais.
- Minimizar a recolha e a retenção de respostas a inquéritos e outros dados sensíveis da força de trabalho, reduzindo assim a potencial exposição em caso de ataque.
