Une tendance déconcertante a émergé du portail de divulgation de violations de données du **Maine's Office of the Attorney General** : la soumission et la publication publique de notifications de violations de données frauduleuses. Ces dépôts trompeurs, ciblant notamment des plateformes comme **VRChat** et **Discord**, ont incité les entreprises impliquées à émettre des démentis immédiats, exposant une vulnérabilité significative dans la diffusion d'informations publiques. ### VRChat ciblé par un canular élaboré L'incident le plus récent concerne une notification prétendument déposée par la plateforme de réalité virtuelle sociale multijoueur, **VRChat**. L'entrée frauduleuse affirmait que les données personnelles de plus de 2,4 millions d'utilisateurs avaient été exposées suite à une violation de l'environnement cloud de l'entreprise entre le 10 et le 12 mai. La lettre de notification détaillée, bien que fabriquée, listait les types de données exposées, notamment les noms d'utilisateur **VRChat**, les adresses e-mail, les statuts d'abonnement, les historiques de connexion (appareil, identifiants matériels, adresses IP) et les identifiants utilisateur **Steam** ou **Meta** liés. Malgré son apparence convaincante, **VRChat** a rapidement réfuté ces affirmations. **Charles Tupper**, responsable de la communauté chez **VRChat**, a confirmé à BleepingComputer que la notification était fausse, déclarant : « VRChat n'a pas soumis cet avis de violation de données, et l'employé/e-mail cité n'existe pas. Nous n'avons aucune raison de croire que nos données ou nos systèmes ont été compromis. » **Graham Gaylor**, PDG et co-fondateur de **VRChat**, a corroboré cette déclaration. L'entreprise travaille activement avec le bureau du procureur général du Maine pour faire supprimer le faux dépôt. ### Discord également victime de désinformation Plus tôt dans la semaine, **Discord** a été ciblé de manière similaire avec une notification de violation de données suspecte sur le même portail, alléguant un impact sur 10 millions d'utilisateurs. Contrairement au dépôt de **VRChat**, l'entrée de **Discord** ne contenait pas de lettre de notification formelle aux consommateurs. Elle contenait des informations vagues, incohérentes et peu fiables, y compris un contact Gmail générique et un numéro de téléphone de substitution, ainsi que des dates contradictoires pour la survenue et la découverte de la violation. Bien que **Discord** ait effectivement subi une violation de données en 2025 en raison d'un compromis de son système de support **Zendesk**, affectant 5,5 millions d'utilisateurs, les détails de l'entrée du portail du procureur général du Maine ne ressemblaient en rien à l'incident réel. ### Soumissions non vérifiées : une faille critique Le **Maine Office of the Attorney General** a confirmé que son portail permet à quiconque de soumettre un formulaire de notification de violation, qui est ensuite ajouté publiquement sans vérification préalable. « Nous n'avons aucune connaissance indépendante des violations, l'entité soumettrice remplit les informations et cela va directement sur le site », a déclaré un représentant du bureau du procureur général. Ce manque de contrôle crée une voie facile pour que des acteurs malveillants propagent de la désinformation, causant potentiellement des dommages à la réputation et une panique généralisée avant même que les entreprises ne soient au courant des fausses allégations. Cette série d'incidents souligne un besoin critique de processus de vérification améliorés dans les systèmes publics de notification de violations de données. Pour les professionnels de la sécurité informatique et les utilisateurs soucieux de leur vie privée, cela rappelle brutalement l'importance de vérifier indépendamment les notifications de violation directement auprès des entreprises concernées, plutôt que de se fier uniquement aux portails publics, aussi officiels qu'ils puissent paraître.