La Oficina del Fiscal General del estado de Maine suspendió temporalmente el acceso público a su portal de notificación de brechas de datos luego de detectar reportes fraudulentos que atribuían incidentes de seguridad a VRChat y Discord. Las autoridades eliminaron los registros y anunciaron una revisión de los procedimientos de publicación.
La Oficina del Fiscal General del estado de Maine confirmó que su sistema de notificación de brechas de datos fue utilizado para publicar reportes falsos relacionados con supuestos incidentes de seguridad que involucraban a las plataformas VRChat y Discord. Según la entidad, los informes fueron enviados por una persona o grupo no vinculado a ninguna de las compañías afectadas y posteriormente publicados en la base de datos pública del organismo.
La situación salió a la luz después de que apareciera en el portal una notificación atribuida a VRChat que describía una supuesta filtración de información de más de 2,4 millones de usuarios. El reporte incluía una carta dirigida a los afectados, detalles técnicos del supuesto incidente y datos de contacto de un empleado que, según la empresa, no existía. Tras ser consultada, la compañía negó haber presentado la notificación y afirmó que no tenía motivos para creer que sus sistemas hubieran sido comprometidos.
Posteriormente, la Oficina del Fiscal General emitió una declaración oficial señalando “la Fiscalía General de Maine ha detectado un aparente abuso de nuestro sistema de notificación de filtraciones de datos”.
Las autoridades indicaron que, tras mantener conversaciones con VRChat, pudieron determinar que los reportes correspondían a engaños. En la misma declaración señalaron que “Estos informes falsos se han eliminado de la base de datos. No tenemos constancia de ningún informe reciente y legítimo de filtración de datos procedente de VRChat ni de Discord.”
La investigación reveló además que los registros enviados al sistema eran publicados automáticamente en la base de datos pública sin una verificación previa por parte de la autoridad. Según declaraciones entregadas por la oficina estatal a medios especializados, la información ingresada por la entidad que realiza la notificación pasa directamente al sitio web, sin que exista validación independiente sobre la veracidad del incidente reportado.
Además del caso relacionado con VRChat, el portal también contenía una supuesta notificación atribuida a Discord que afirmaba que diez millones de personas habían resultado afectadas por una brecha de datos. El registro incluía inconsistencias evidentes, como fechas contradictorias, información de contacto poco confiable y datos incompletos, elementos que posteriormente contribuyeron a reforzar las sospechas sobre su autenticidad.
Como medida inmediata, el estado de Maine decidió retirar temporalmente el acceso público a la base de datos mientras revisa sus procedimientos internos. La oficina informó que continuará aceptando reportes de brechas de datos mediante su sistema de presentación en línea, pero mantendrá fuera de servicio el portal público hasta implementar mecanismos que reduzcan el riesgo de nuevos abusos. Asimismo, indicó que las personas que necesiten acceder a registros existentes deberán solicitar la información directamente a la autoridad competente.