Dalam kampanye misinformasi yang tidak biasa, pengungkapan pelanggaran data palsu diserahkan ke portal pelanggaran resmi Maine dan diposting secara publik sebelum legitimasinya dapat diverifikasi, sehingga mendorong perusahaan untuk menolak klaim tersebut.
Pemberitahuan yang diduga diajukan oleh platform realitas virtual sosial multipemain VRChat adalah entri terbaru dalam database pengungkapan pelanggaran Jaksa Agung negara bagian.
Namun, perwakilan perusahaan mengatakan kepada BleepingComputer bahwa pemberitahuan pelanggaran tersebut palsu dan diajukan menggunakan nama karyawan fiktif.
VRChat adalah platform realitas virtual sosial multipemain yang dibangun di Unity dan awalnya dirilis untuk Windows dan Oculus Rift pada tahun 2014, di mana pengguna berinteraksi sebagai avatar yang dapat disesuaikan di dunia virtual yang dibuat pengguna.
Yang palsu Entri pelanggaran data VRChat mencatat bahwa data pribadi lebih dari 2,4 juta pengguna terpapar oleh peretas setelah mereka memperoleh akses ke lingkungan cloud perusahaan.
Siapa pun yang menyampaikan informasi palsu berupaya membuat surat pemberitahuan untuk individu yang terkena dampak, yang menyatakan bahwa insiden peretasan terjadi antara tanggal 10 dan 12 Mei dan berdampak pada jenis data berikut:
- Nama pengguna VRChat
- Alamat email yang terkait dengan akun VRChat
- Status berlangganan VRChat+
- Riwayat masuk, termasuk perangkat, pengidentifikasi perangkat keras, dan alamat IP
- ID pengguna Steam atau Meta ditautkan ke akun VRChat
Sekilas, itu surat palsu tampak sah, berisi rincian tentang akses tidak sah, hasil penyelidikan forensik, tindakan yang diambil setelah mendeteksi peretasan, klaim bahwa langkah-langkah telah diambil untuk meningkatkan keamanan, dan apa yang harus dilakukan pengguna untuk meningkatkan perlindungan akun mereka.
Charles Tupper, Kepala Komunitas di VRChat, mengatakan kepada BleepingComputer bahwa pemberitahuan pelanggaran data di database Kantor Kejaksaan Agung Maine adalah penipuan:
“VRChat tidak mengirimkan Pemberitahuan Insiden Data ini, dan karyawan/email yang dikutip tidak ada. Kami tidak punya alasan untuk percaya bahwa data atau sistem kami telah disusupi.”
Tupper menambahkan bahwa perusahaan sedang “dalam proses menghubungi kantor Kejaksaan Agung Maine untuk menghapusnya.”
Graham Gaylor, CEO dan salah satu pendiri VRChat, juga membenarkan pernyataan yang diterima BleepingComputer dari Tupper.
Kantor Kejaksaan Agung Maine juga menanggapi permintaan komentar kami dan mengatakan bahwa “pemberitahuan akan dikirimkan” dan bahwa mereka “tidak mengetahui adanya contoh lain dari penafsiran keliru yang disengaja dalam pengajuan pemberitahuan.”
Awal pekan ini, Kantor Kejaksaan Agung Maine mencatat pemberitahuan pelanggaran data mencurigakan lainnya yang diduga berasal dari Discord, yang mengklaim bahwa 10 juta orang terkena dampak pelanggaran data.
Kantor Kejaksaan Agung Maine mengonfirmasi kepada BleepingComputer bahwa siapa pun dapat mengirimkan formulir pemberitahuan pelanggaran dan menambahkannya ke portal tanpa verifikasi.
“Kami tidak memiliki pengetahuan independen mengenai pelanggaran tersebut, entitas yang mengirimkan mengisi informasi dan langsung masuk ke situs. Kami akan meninjau yang Anda tandai, terima kasih,” kata Kantor Kejaksaan Agung Maine kepada BleepingComputer ketika ditanya tentang validitas pengajuan pelanggaran data Discord.
Tidak seperti kebanyakan pemberitahuan pelanggaran data formal, entri Discord tidak menyertakan surat pemberitahuan dari perusahaan yang memberi tahu konsumen tentang pelanggaran tersebut, mengungkapkan apa yang terjadi dan bagaimana mereka yang terkena dampak dapat melindungi diri mereka sendiri.
Selain alamat perusahaan, Entri perselisihan menyertakan informasi yang tidak jelas dan tidak dapat diandalkan, dimulai dengan nama orang yang mengirimkan pemberitahuan, kontak Gmail, dan nomor telepon pengganti.
Selain itu, rincian pelanggaran yang terjadi pada 9 Juli 2024, dan ditemukan pada 8 Agustus 2025, serta tanggal pemberitahuan konsumen yang tidak konsisten yaitu 1 Januari 2000, merupakan indikasi jelas adanya pengajuan palsu.
Meskipun sebuah pelanggaran data berdampak pada Discord pada tahun 2025hal ini terjadi pada tanggal 20 September dan disebabkan oleh gangguan pada sistem meja dukungan Zendesk perusahaan.
Saat itu, para peretas mengatakan kepada BleepingComputer bahwa mereka telah mencuri data 5,5 juta pengguna dari 8,4 juta tiket.
Meskipun terdaftar di portal resmi, validitas pengungkapan data tidak boleh dianggap remeh karena pemeriksaan yang tidak memadai memudahkan penipu menyebarkan informasi yang salah, yang berpotensi menyebabkan kerusakan reputasi dan kepanikan bahkan sebelum perusahaan menyadari bahwa ada laporan palsu yang diposting.
Pengajuan palsu ini menyoroti perlunya jurnalis dan konsumen untuk memverifikasi pemberitahuan pelanggaran secara independen dengan perusahaan yang terkena dampak sebelum menganggap entri di portal pemberitahuan publik sebagai insiden yang sah.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
