В апреле 2020 года пользователи Nintendo стали массово жаловаться на компрометацию своих учтенных записей. Неизвестные лица входили в чужие аккаунты из самых разных стран мира, и многие пострадавшие теряли деньги в результате таких компрометаций. В некоторых случаях хакеры покупали игры Nintendo за чужой счет, но чаще всего приобретали игровую валюту Fortnite через привязанную к профилю Nintendo карту или аккаунт PayPal.
Когда количество жалоб и публикаций в СМИ достигло критической точки, компания Nintendo подтвердила, что неизвестные злоумышленники действительно взломали учтенные записи примерно 160 000 пользователей.
Как выяснилось, проблема заключалась не в массовых credential stuffing атаках и переборе наиболее распространенных комбинаций учтенных данных. Игровая компания утверждает, что хакеры эксплуатировали интеграцию с NNID, то есть Nintendo Network ID, чтобы получить доступ к чужим профилям. NNID – это устаревшая логин-система, используемая для управления учетными записями на старых платформах Wii U или Nintendo 3DS. На новых устройствах Nintendo пользователи так же могут связать свои старые учетные записи NNID с профилем Nintendo.
Тогда представители Nintendo не уточнили, что именно произошло, но заявили, что более NNID не поддерживается, и войти таким образом в основной профиль Nintendo не выйдет.
Теперь, спустя полтора месяца после этих событий, Nintendo сообщила, что специалистам компании удалось выявить еще примерно 140 000 нарушений, то есть суммарно от апрельских атак пострадали около 300 000 пользователей.
Напомню, что третьи лица могли получить доступ к личной информации людей, в том числе их днях рождения и адресах электронной почты (данные банковских карт в руки злоумышленников не попали).
Компания еще раз принесла извинения пользователям и пообещала повысить безопасность, чтобы подобное больше повторилось. В настоящее время всем пострадавшим сбросили пароли, а также специалисты Nintendo уверяют, что почти закончили возвращать пострадавшим их средства.