Foto: BleepingComputer
Lažne prijave sigurnosnih incidenata objavljene su na službenom portalu savezne države Maine prije nego što je njihova vjerodostojnost mogla biti provjerena, a nekoliko je tvrtki već negiralo navode. U jednom od najnovijih slučajeva u bazi je osvanula prijava koja je tvrdila da je pogođen VRChat, platforma za društvenu virtualnu stvarnost, no predstavnik tvrtke rekao je za BleepingComputer da je riječ o lažnoj obavijesti i da je podnesena pod imenom nepostojećeg zaposlenika.
Lažna prijava navodila je da su hakeri navodno pristupili cloud okruženju tvrtke te da je izloženo više od 2,4 milijuna korisnika. Uz to je bio priložen i nacrt pisma za obavještavanje pogođenih osoba, s datumima između 10. i 12. svibnja te opisima podataka koji su navodno obuhvaćeni incidentom. U tom su pismu bile navedene tvrdnje o neovlaštenom pristupu, forenzičkoj istrazi, poduzetim mjerama nakon otkrivanja upada i koracima koje korisnici trebaju poduzeti kako bi dodatno zaštitili račun.
Charles Tupper, voditelj zajednice u VRChatu, rekao je za BleepingComputer: „VRChat nije podnio ovu obavijest o incidentu s podacima, a zaposlenik i adresa e-pošte koji su navedeni ne postoje. Nemamo razloga vjerovati da su naši podaci ili sustavi kompromitirani.” Dodao je i da je tvrtka „u procesu kontaktiranja ureda državnog odvjetnika Mainea kako bi se ovo uklonilo”. CEO i suosnivač VRChata Graham Gaylor također je potvrdio tu izjavu.
Ured državnog odvjetnika Mainea odgovorio je na upit i priopćio da će „obavijest biti uklonjena” te da nisu bili svjesni drugog primjera namjernog lažnog predstavljanja u podnesenim prijavama. Iz tog je ureda ranije ove tjedna u bazi osvanula i druga sumnjiva prijava, ovaj put navodno od Discorda, u kojoj se tvrdilo da je pogođeno 10 milijuna ljudi. Ured je za BleepingComputer potvrdio da bilo tko može podnijeti obrazac za prijavu povrede podataka i da se on zatim objavljuje na portalu bez provjere.
Kod sporne prijave za Discord nisu bili priloženi uobičajeni elementi formalne obavijesti o povredi podataka, poput pisma tvrtke korisnicima s opisom što se dogodilo i kako se mogu zaštititi. Umjesto toga, navedeni su neodređeni i nepouzdani podaci, uključujući ime osobe koja je navodno podnijela prijavu, Gmail kontakt i privremeni telefonski broj. Neusklađeni datumi, prema kojima se incident dogodio 9. srpnja 2024., a otkriven je 8. kolovoza 2025., uz datum obavijesti potrošačima 1. siječnja 2000., također upućuju na lažnu prijavu. Iako je Discord doista imao sigurnosni incident 2025., on se dogodio 20. rujna i bio je povezan s kompromitacijom njegova Zendesk sustava za korisničku podršku.
Vezane vijesti
