Im Mittelpunkt des aktuellen Falls steht eine angebliche Datenpannenmeldung von VRChat, die als jüngster Eintrag in der Datenbank des Generalstaatsanwalts von Maine erschien. In dem Eintrag heißt es, Angreifer hätten Zugriff auf die Cloud-Umgebung des Unternehmens erlangt und dabei personenbezogene Daten von mehr als 2,4 Millionen Nutzern offengelegt.

Der mutmaßlich falsche Einreicher ging dabei offenbar mit erheblichem Aufwand vor. Laut BleepingComputer wurde sogar ein Benachrichtigungsschreiben für Betroffene erstellt. Darin war von unbefugtem Zugriff, Ergebnissen einer forensischen Untersuchung, eingeleiteten Reaktionen auf den angeblichen Angriff, zusätzlichen Sicherheitsmaßnahmen und Empfehlungen zum Schutz der Nutzerkonten die Rede. Auf den ersten Blick wirkte das Schreiben demnach plausibel.

VRChat bestreitet die Darstellung jedoch eindeutig. Charles Tupper, Head of Community bei VRChat, sagte BleepingComputer: „VRChat hat diese Meldung über einen Datenvorfall nicht eingereicht, und der angegebene Mitarbeiter beziehungsweise die angegebene E-Mail existiert nicht. Wir haben keinen Grund zu der Annahme, dass unsere Daten oder Systeme kompromittiert wurden.“ Tupper erklärte außerdem, das Unternehmen sei dabei, das Büro des Generalstaatsanwalts von Maine zu kontaktieren, um den Eintrag entfernen zu lassen. Graham Gaylor, CEO und Mitgründer von VRChat, bestätigte gegenüber BleepingComputer dieselbe Darstellung.

Auch das Büro des Generalstaatsanwalts von Maine äußerte sich auf Anfrage. Gegenüber BleepingComputer erklärte die Behörde, „die Meldung wird entfernt werden“ und man kenne „kein weiteres Beispiel für eine absichtliche Falschdarstellung bei solchen Meldungseinreichungen“.

Brisant ist vor allem der Meldeprozess selbst. Das Büro des Generalstaatsanwalts bestätigte BleepingComputer, dass grundsätzlich jeder ein Formular zur Meldung einer Datenpanne einreichen kann und der Eintrag ohne vorherige Prüfung im Portal veröffentlicht wird. Wörtlich erklärte die Behörde zum verdächtigen Discord-Eintrag: „Wir haben keine eigenen unabhängigen Kenntnisse über diese Datenschutzverletzungen, die einreichende Stelle füllt die Informationen aus und sie werden direkt auf der Website veröffentlicht. Wir werden den von Ihnen markierten Fall prüfen, danke.“

Bereits zuvor war in dieser Woche eine weitere auffällige Meldung im Portal aufgetaucht, diesmal angeblich von Discord. Dort wurde behauptet, 10 Millionen Menschen seien von einer Datenpanne betroffen. Anders als bei üblichen formalen Meldungen fehlte jedoch ein Benachrichtigungsschreiben des Unternehmens an Verbraucher. Stattdessen enthielt der Eintrag laut BleepingComputer nur vage und unzuverlässige Angaben, darunter einen Gmail-Kontakt, eine Platzhalter-Telefonnummer und widersprüchliche Datumsangaben. So sollte die Datenschutzverletzung am 9. Juli 2024 erfolgt und am 8. August 2025 entdeckt worden sein, während als Datum der Verbraucherbenachrichtigung der 1. Januar 2000 genannt wurde.

Zwar war Discord im Jahr 2025 tatsächlich von einer Datenpanne betroffen, doch diese ereignete sich laut BleepingComputer am 20. September und ging auf eine Kompromittierung des Zendesk-Supportsystems des Unternehmens zurück. Damals erklärten die Hacker gegenüber BleepingComputer, sie hätten Daten von 5,5 Millionen Nutzern aus 8,4 Millionen Tickets gestohlen.

Der Vorfall in Maine zeigt vor allem, dass selbst Einträge auf einem offiziellen Meldeportal nicht automatisch als echt gelten können, wenn vor der Veröffentlichung keine ausreichende Prüfung stattfindet. Im geschilderten Fall nutzten Unbekannte genau diese Lücke, um falsche Datenpannenmeldungen öffentlich sichtbar zu machen.