Незадолго до случая с ALVR случилась и ещё одна околохакерская история. Антивирусная компания MalwareBytes, ссылаясь на документ уведомления о кибератаке для штата Мэн (где компании обязаны отчитываться о кибератаках), заявила в своём блоге, что с социальной VR-платформы VRChat между 10 и 12 мая были якобы скопированы/украдены логины, почты и история заходов IP-адресов 2.4 миллионов пользователей (но не пароли, данные карт или подтверждения возраста), и что компания якобы улучшила безопасность и начала расследование.
Документ уведомления выглядел правдоподобно, как и цифры в нём, и сообщество справедливо запаниковало, но комьюнити-менеджер Tupper заявил от лица компании , что сама компания VRChat никакого уведомления не подавала, что сотрудник VRChat, указанный в уведомлении как заявитель, не существует на самом деле, и что компания не считает, что какие-либо системы были скомпрометированы. Компания уже пытается связаться с прокурором штата, чтобы запросить удаление этого документа.
Как ни странно, но в публичных источниках «директор» VRChat Inc. Скотт Карусо и соответствующая ему почта действительно не числятся. Более того, если бы утечка была реальной, и компания бы отправила уведомление о взломе, но потом бы затребовала удалить его, то у неё были бы куда большие проблемы, чем если бы она просто молчала.
Конечно, малый шанс того, что VRChat зачем-то попытался удалить реальное уведомление об утечке, всё равно есть, но даже фраза звучит слишком глупой для того, чтобы быть правдой. Тем не менее, примерно такой список личной информации о пользователях может утечь, если компания оставит доступной для всех, например, систему логирования входов пользователей; риск реальной утечки данных в будущем у любого сервиса всегда стоит иметь в виду, особенно в эпоху вайбкода.
Что же касается поддельного уведомления, то его могли отправить либо недовольные бывшие сотрудники компании с доступом к шаблоном писем, либо просто тролли с нейронкой.
Источники:
