Ein beunruhigender Trend hat sich aus dem Datenpannen-Offenlegungsportal des **Maine Office of the Attorney General** ergeben: die Einreichung und öffentliche Veröffentlichung betrügerischer Benachrichtigungen über Datenpannen. Diese täuschenden Einreichungen, die insbesondere Plattformen wie **VRChat** und **Discord** ins Visier nahmen, haben die betroffenen Unternehmen zu sofortigen Dementis veranlasst und eine erhebliche Schwachstelle in der öffentlichen Informationsverbreitung aufgedeckt. ### VRChat Ziel einer aufwendigen Fälschung Der jüngste Vorfall betrifft eine Mitteilung, die angeblich von der Multiplayer-Social-Virtual-Reality-Plattform **VRChat** eingereicht wurde. Die betrügerische Eintragung behauptete, dass persönliche Daten von über 2,4 Millionen Nutzern nach einer Kompromittierung der Cloud-Umgebung des Unternehmens zwischen dem 10. und 12. Mai offengelegt wurden. Das detaillierte, aber gefälschte Benachrichtigungsschreiben listete offengelegte Datentypen auf, darunter **VRChat**-Benutzernamen, E-Mail-Adressen, Abonnementstatus, Anmeldeverläufe (Gerät, Hardware-IDs, IP-Adressen) und verknüpfte **Steam**- oder **Meta**-Benutzer-IDs. Trotz seines überzeugenden Erscheinungsbildes entlarvte **VRChat** die Behauptungen schnell. **Charles Tupper**, Head of Community bei **VRChat**, bestätigte gegenüber BleepingComputer, dass die Mitteilung gefälscht sei, und erklärte: „VRChat hat diese Mitteilung über einen Datenvorfall nicht eingereicht, und der genannte Mitarbeiter/die genannte E-Mail-Adresse existiert nicht. Wir haben keinen Grund zu der Annahme, dass unsere Daten oder Systeme kompromittiert wurden.“ **Graham Gaylor**, CEO und Mitbegründer von **VRChat**, bekräftigte diese Aussage. Das Unternehmen arbeitet aktiv mit dem Büro des Maine AG zusammen, um die gefälschte Einreichung entfernen zu lassen. ### Discord ebenfalls Opfer von Desinformation Anfang der Woche wurde **Discord** auf demselben Portal ebenfalls mit einer verdächtigen Benachrichtigung über eine Datenpanne ins Visier genommen, die angeblich 10 Millionen Nutzer betraf. Im Gegensatz zur **VRChat**-Einreichung enthielt der **Discord**-Eintrag kein formelles Benachrichtigungsschreiben an die Verbraucher. Er enthielt vage, inkonsistente und unzuverlässige Informationen, darunter eine generische Gmail-Kontaktadresse und eine Platzhalter-Telefonnummer, sowie widersprüchliche Daten für das Auftreten und die Entdeckung der Panne. Obwohl **Discord** im Jahr 2025 aufgrund einer Kompromittierung seines **Zendesk**-Supportsystems eine Datenpanne erlebte, die 5,5 Millionen Nutzer betraf, ähnelten die Details in dem Eintrag des Maine AG-Portals dem tatsächlichen Vorfall nicht. ### Unbestätigte Einreichungen: Eine kritische Schwachstelle Das **Maine Office of the Attorney General** bestätigte, dass sein Portal es jedem erlaubt, ein Formular für die Benachrichtigung über eine Datenpanne einzureichen, das dann ohne vorherige Überprüfung öffentlich hinzugefügt wird. „Wir haben keine unabhängigen Kenntnisse von den Pannen, die einreichende Stelle füllt die Informationen aus und sie werden direkt auf die Website gestellt“, erklärte ein Vertreter des AG-Büros. Dieser Mangel an Überprüfung schafft einen einfachen Weg für böswillige Akteure, Desinformation zu verbreiten, was potenziell zu Reputationsschäden und weit verbreiteter Panik führen kann, bevor Unternehmen überhaupt von den falschen Behauptungen erfahren. Diese Reihe von Vorfällen unterstreicht die dringende Notwendigkeit verbesserter Verifizierungsprozesse in öffentlichen Systemen zur Benachrichtigung über Datenpannen. Für IT-Sicherheitsexperten und datenschutzbewusste Nutzer dient dies als deutliche Erinnerung daran, wie wichtig es ist, Benachrichtigungen über Datenpannen direkt bei den betroffenen Unternehmen unabhängig zu überprüfen, anstatt sich ausschließlich auf öffentliche Portale zu verlassen, egal wie offiziell sie erscheinen mögen.