Portal oficial do procurador-geral do Maine, nos EUA, foi usado para publicar notificações falsas de vazamento de dados contra Discord e VRChat. As empresas negaram os registros, que continham nomes de funcionários inexistentes, datas incoerentes e contatos de e-mail pessoal, revelando falha grave no processo de verificação do sistema.
Como o golpe funcionou
O portal de notificação de vazamentos do estado do Maine permite que qualquer pessoa envie um registro de incidente sem necessidade de autenticação ou verificação de identidade. O atacante aproveitou essa lacuna para criar comunicações fraudulentas que parecem oficiais por estarem hospedadas em um domínio do governo (maine.gov).
No caso da VRChat, a notificação falsa alegava que 2,4 milhões de usuários tiveram dados expostos após invasão ao ambiente de nuvem da empresa entre 10 e 12 de maio de 2026. O registro incluía uma carta de notificação detalhada, com informações sobre tipos de dados comprometidos — nomes de usuário, e-mails, históricos de login, IPs e IDs vinculados a contas Steam e Meta.
Charles Tupper, responsável pela comunidade da VRChat, confirmou ao BleepingComputer que o registro era fraudulento: o funcionário citado não existia e a empresa não sofreu nenhum incidente de segurança.
Discord também foi alvo
Dias antes, outra notificação falsa foi registrada no mesmo portal, alegando que o Discord sofreu um vazamento afetando 10 milhões de usuários. A submissão, feita por alguém identificado como “Xavier Morrison” com e-mail Gmail e telefone de preenchimento automático, apresentava datas incompatíveis — o suposto vazamento teria ocorrido em julho de 2024, descoberto em agosto de 2025, e a notificação aos consumidores listava 1º de janeiro de 2000.
Embora o Discord tenha sofrido um incidente real em 2025 — quando hackers acessaram o sistema de suporte Zendesk e roubaram dados de 5,5 milhões de tickets —, o registro no portal do Maine não guarda relação com esse evento, conforme análise do HackRead. Esse tipo de fraude mostra como ataques de engenharia social podem explorar a credibilidade de portais governamentais para enganar vítimas.
Falha estrutural no portal
O gabinete do procurador-geral do Maine confirmou ao BleepingComputer que não realiza verificação independente dos registros antes da publicação. “Qualquer pessoa pode enviar o formulário e ele vai diretamente para o site”, afirmou o órgão em resposta à reportagem. A única ação tomada até agora foi a promessa de remover os registros fraudulentos após ser alertado pela imprensa.
| Registro falso | Empresa citada | Afastados supostos | Sinais de fraude |
|---|---|---|---|
| VRChat | VRChat Inc. | 2,4 milhões | Funcionário inexistente, carta fabricada |
| Discord | Discord Inc. | 10 milhões | Gmail como contato, data 01/01/2000, telefone falso |
Como se proteger
- Verifique a fonte diretamente com a empresa — não confie em registros de portais governamentais sem confirmação oficial do afetado.
- Ative autenticação em dois fatores (2FA) em todas as contas — mesmo que os vazamentos sejam falsos, a recomendação vale sempre.
- Desconfie de e-mails que citam esses registros — golpistas podem usar notificações falsas como pretexto para ataques de phishing, pedindo que vítimas cliquem em links ou forneçam credenciais.
- Consulte canais oficiais da empresa — blogs de segurança, perfis verificados em redes sociais e comunicados em primeira mão são fontes mais confiáveis do que portais de terceiros sem curadoria.