Hackere stjeler GeForce NOW-brukerdata: Nytt offer for ShinyHunters

Selve angrepet rammet ikke NVIDIAs egne systemer, men databaser hos den armenske partneren GFN.am, som driver skyspilltjenesten i flere tidligere sovjetstater. Selskapet bekreftet bruddet 8. mai 2026, etter at en aktør under navnet ShinyHunters la ut databasen for salg på et hackerforum.

«Vår undersøkelse fant ingen påvirkning på NVIDIA-opererte tjenester. Saken er begrenset til systemer drevet av en tredjeparts GeForce NOW Alliance-partner basert i Armenia», opplyser NVIDIA i en uttalelse til Bleeping Computer.

GFN.am står bak GeForce NOW ikke bare i Armenia, men også i Aserbajdsjan, Georgia, Kasakhstan, Moldova, Ukraina og Usbekistan. Norske brukere som benytter GeForce NOW via NVIDIA direkte, skal etter alt å dømme ikke være berørt.

Hva ble stjålet

Selve innbruddet skjedde mellom 20. og 26. mars 2026. Brukere som registrerte seg etter 9. mars, slapp unna.

Dataene som er eksponert, omfatter fullt navn for brukere innlogget via Google, e-postadresse, brukernavn, fødselsdato, telefonnummer for de som registrerte seg via mobiloperatør, medlemsstatus og status på tofaktorautentisering, ifølge en gjennomgang hos Rescana.

Verken passord eller betalingsdata skal ha vært en del av lekkasjen.

ShinyHunters eller en imitator

Aktøren som la ut databasen på et hackerforum, kalte seg ShinyHunters og forlangte 100.000 dollar i Bitcoin eller Monero for hele databasen. Det er imidlertid tvil om det er den ekte gruppen som står bak.

ShinyHunters har ikke publisert noe på sin egen lekkasjeside, som vanligvis fungerer som hovedkanal for gruppens største brudd. Sikkerhetsanalytikere har derfor pekt på muligheten for at det dreier seg om en etterligner. NVIDIA selv har valgt å tone ned hele saken, og understreker at selskapets egen infrastruktur ikke er rørt.

ShinyHunters er det siste året knyttet til en rekke tyverier av kundedata hos selskaper som lagrer data i skytjenester, og navnet brukes nå av flere aktører på undergrunnsfora.

Praktisk sjekkliste etter angrepet

At lekkasjen inkluderer status på tofaktorautentisering, er et eget poeng. Det gjør det mulig for angripere å sortere ut kontoer uten ekstra beskyttelse og gå målrettet etter de svakeste, advarer TechRadar.

Selv om norske brukere trolig står utenfor selve lekkasjen, er rådene fra sikkerhetsmiljøet aktuelle for alle som har en GeForce NOW-konto eller bruker den samme e-postadressen på flere tjenester:

- Bytt passord på GeForce NOW-kontoen og på andre tjenester der du har brukt samme passord. - Sjekk om e-postadressen din finnes i kjente lekkasjer via tjenesten Have I Been Pwned. - Slå på tofaktorautentisering på alle kontoer der det er mulig. - Bytt fra SMS-basert tofaktor til en autentikator-app eller en fysisk sikkerhetsnøkkel hvis du kan. - Vær ekstra varsom med phishing, særlig e-poster og SMS som viser til GeForce NOW-kontoen din.

GFN.am har varslet at berørte kunder skal kontaktes direkte, og selskapet har bedt brukerne følge med på meldinger fra tjenesten i tiden fremover.