Uma tendência preocupante emergiu do portal de divulgação de violações de dados do **Maine Office of the Attorney General**: a submissão e publicação de notificações fraudulentas de violação de dados. Essas submissões enganosas, notavelmente visando plataformas como **VRChat** e **Discord**, levaram as empresas implicadas a emitir negações imediatas, expondo uma vulnerabilidade significativa na disseminação de informações públicas. ### VRChat Alvo de Elaborada Farsa O incidente mais recente envolve uma notificação supostamente registrada pela plataforma de realidade virtual social multiplayer, **VRChat**. A entrada fraudulenta alegava que dados pessoais de mais de 2,4 milhões de usuários foram expostos após uma violação do ambiente de nuvem da empresa entre 10 e 12 de maio. A carta de notificação detalhada, porém fabricada, listava tipos de dados expostos, incluindo nomes de usuário do **VRChat**, endereços de e-mail, status de assinatura, históricos de login (dispositivo, identificadores de hardware, endereços IP) e IDs de usuário vinculados do **Steam** ou **Meta**. Apesar de sua aparência convincente, o **VRChat** rapidamente desmentiu as alegações. **Charles Tupper**, Head of Community no **VRChat**, confirmou ao BleepingComputer que a notificação era falsa, declarando: "O VRChat não submeteu esta Notificação de Incidente de Dados, e o funcionário/e-mail citado não existe. Não temos motivos para acreditar que nossos dados ou sistemas tenham sido comprometidos." **Graham Gaylor**, CEO e cofundador do **VRChat**, corroborou esta declaração. A empresa está trabalhando ativamente com o escritório do AG do Maine para remover a submissão falsa. ### Discord Também Vítima de Desinformação No início da semana, o **Discord** foi igualmente alvo de uma notificação suspeita de violação de dados no mesmo portal, alegando um impacto em 10 milhões de usuários. Ao contrário da submissão do **VRChat**, a entrada do **Discord** carecia de uma carta de notificação formal aos consumidores. Ela continha informações vagas, inconsistentes e não confiáveis, incluindo um contato genérico do Gmail e um número de telefone placeholder, juntamente com datas contraditórias para a ocorrência e descoberta da violação. Embora o **Discord** tenha sofrido uma violação de dados em 2025 devido a um comprometimento de seu sistema de suporte **Zendesk**, afetando 5,5 milhões de usuários, os detalhes na entrada do portal do Maine AG não tinham semelhança com o incidente real. ### Submissões Não Verificadas: Uma Falha Crítica O **Maine Office of the Attorney General** confirmou que seu portal permite que qualquer pessoa envie um formulário de notificação de violação, que é então adicionado publicamente sem verificação prévia. "Não temos conhecimento independente das violações, a entidade que submete preenche as informações e elas vão diretamente para o site", declarou um representante do escritório do AG. Essa falta de verificação cria um caminho fácil para atores maliciosos espalharem desinformação, potencialmente causando danos à reputação e pânico generalizado antes mesmo que as empresas estejam cientes das falsas alegações. Esta série de incidentes ressalta a necessidade crítica de processos de verificação aprimorados em sistemas públicos de notificação de violação de dados. Para profissionais de segurança de TI e usuários preocupados com a privacidade, serve como um lembrete contundente da importância de verificar independentemente as notificações de violação diretamente com as empresas afetadas, em vez de depender apenas de portais públicos, por mais oficiais que possam parecer.