Власти американского штата Мэн были вынуждены временно отключить публичный портал, предназначенный для уведомлений об утечках данных. Дело в том, что неизвестные злоумышленники разместили там серию поддельных сообщений о крупных взломах и утечках данных миллионов пользователей, в том числе связанных с VRChat и Discord.
Пользователи и СМИ обратили внимание на происходящее после того, как в базе данных офиса генерального прокурора штата появилось уведомление об утечке данных пользователей VRChat (архивная версия). Сообщение гласило, что злоумышленники якобы получили доступ к облачной инфраструктуре компании в период с 10 по 12 мая 2026 года и похитили информацию 2 436 782 человек.
В фейковом уведомлении утверждалось, что атакующие похитили имена пользователей VRChat, связанные с аккаунтами email-адреса, сведения о подписке VRChat+, данные об истории входов, IP-адресах, идентификаторах устройств, а также ID Steam и Meta (деятельность компании признана экстремистской и запрещена в России).
При этом авторы фейка не ограничились размещением короткого уведомления. Они подготовили полноценное письмо для пострадавших пользователей с описанием якобы проведенного расследования, принятых защитных мер, а также содержавшее рекомендации по защите учетных записей.
Однако вскоре представители VRChat заявили, что никакого взлома не было. Руководитель направления по работе с сообществом Чарльз Таппер (Charles Tupper) сообщил СМИ, что уведомление является подделкой, а фигурирующий в документах сотрудник и вовсе не существует.
По словам представителей платформы, нет никаких оснований полагать, что системы компании или данные пользователей были скомпрометированы. Сооснователь и генеральный директор VRChat Грэм Гейлор (Graham Gaylor) также подтвердил это заявление.
Параллельно исследователи обнаружили на портале штата Мэн еще одно подозрительное уведомление, созданное от имени Discord (архивная версия). В этом сообщении говорилось об утечке данных 10 млн человек. При этом документ содержал множество явных несоответствий: контактный адрес на Gmail, фальшивый номер телефона и некорректные даты. Например, пользователей якобы собирались уведомить об инциденте 1 января 2000 года.
После обращения журналистов в офис генерального прокурора штата выяснилось, что система практически не проверяет поступающие заявления. Любая организация может отправить уведомление, после чего оно автоматически появляется в публичной базе данных.
В конце прошлой недели власти штата официально признали, что неизвестные лица злоупотребили системой подачи уведомлений. В заявлении властей говорится, что оба сообщения об утечках данных были подделками, а разместившие их люди не были связаны ни с VRChat, ни с Discord. После этого записи были удалены.
В настоящее время доступ к публичной базе временно закрыт. В офисе генпрокурора заявили, что пересматривают процедуры публикации уведомлений, чтобы предотвратить подобные инциденты в будущем. При этом компании по-прежнему могут сообщать о реальных инцидентах и утечках данных, однако копии уведомлений выдаются только по запросу.
