VRChat behauptet, der gemeldete Datenleck habe nie stattgefunden

| Juni 11, 2026
VRChat-Logo

Beim Generalstaatsanwalt von Maine wurde eine Meldung über eine Datenpanne eingereicht, wonach die Daten von mehr als 2,4 Millionen Nutzern von VRChat offengelegt wurden.

Die Frage ist: War es VRChat selbst, das die Meldung über den Datenverstoß eingereicht hat, oder hat stattdessen jemand, der vorgab, das Unternehmen zu vertreten, diese veröffentlicht? Auf Reddit schrieb ein Vertreter von VRChat:

VRChat hat diese Meldung über einen Datenvorfall nicht eingereicht, und wir haben keinen Grund zu der Annahme, dass unsere Systeme kompromittiert wurden. Wir sind dabei, uns an die Generalstaatsanwaltschaft von Maine zu wenden, um die Meldung entfernen zu lassen.

In der Mitteilung über die Datenschutzverletzung heißt es, dass bei VRChat zwischen dem 10. und 12. Mai 2026 ein unbefugter Zugriff auf bestimmte Kontodaten stattgefunden habe. Der Zugriff soll in der Cloud-Umgebung von VRChat erfolgt sein und betraf Nutzerprofile sowie Anmeldedaten.

Dem Hinweis zufolge variierten die offengelegten Informationen je nach Konto, könnten jedoch Folgendes umfasst haben:

  • VRChat-Benutzername
  • Mit dem VRChat-Konto verknüpfte E-Mail-Adresse
  • Status des VRChat+-Abonnements
  • Anmeldungsverlauf, einschließlich Geräteinformationen, Hardware-Kennungen und IP-Adressen

VRChat ist eine soziale Plattform, die in erster Linie für Virtual-Reality-Headsets entwickelt wurde und es den Nutzern ermöglicht, über selbst erstellte 3D-Avatare und -Welten mit anderen zu interagieren. Nutzer können über Steam für den PC, den Meta Quest Store oder als Android für kompatible Geräte auf VRChat zugreifen.

In der Mitteilung heißt es, dass keine Passwörter oder Zahlungskartendaten offengelegt wurden. Doch auch ohne Passwörter oder Kartendaten bestehen weiterhin potenzielle Risiken im Zusammenhang mit anderen kompromittierten Daten.

Phishing

Cyberkriminelle nutzen möglicherweise Benutzernamen und E-Mail-Adressen für gezielte Phishing-Angriffe. So erhalten Nutzer beispielsweise Phishing-E-Mails oder plattforminterne Nachrichten, die angeblich vom „Support“ stammen und gefälschte Sicherheitswarnungen enthalten oder dazu auffordern, das Alter über einen bösartigen Link zu bestätigen.

Die Kenntnis des Abonnementstatus könnte Betrugsversuche glaubwürdiger machen. Ein Betrüger könnte maßgeschneiderte Köder wie „Abrechnungsprobleme mit Ihrem Abonnement“ oder Rückerstattungsbetrug versenden, die bei zahlenden Nutzern tendenziell höhere Klickraten erzielen.

Übernahme des Kontos

Cyberkriminelle können Benutzernamen und E-Mail-Adressen aus einem Datenleck mit Passwörtern kombinieren, die bei anderen Datenlecks gestohlen wurden, und diese bei verschiedenen Konten ausprobieren. Diese als „Credential Stuffing“ bezeichnete Technik nutzt die Tatsache aus, dass Nutzer Passwörter auf mehreren Websites wiederverwenden.

Wertvolle Accounts können dann an andere Spieler verkauft oder für Betrugsversuche missbraucht werden.

Identity

Steam- und Meta-Benutzer-IDs, die mit gehackten Konten verknüpft sind, können Cyberkriminellen dabei helfen, Identitäten über Gaming- und soziale Plattformen hinweg miteinander zu verknüpfen, insbesondere wenn dieselbe E-Mail-Adresse oder derselbe Profilname wiederverwendet wird.

IP-Adressen, Anmeldedaten, Geräteinformationen und andere Identifikatoren können ebenfalls dazu beitragen, ein detaillierteres Werbe- oder Tracking-Profil eines Nutzers zu erstellen.

Wie man sicher bleibt

Unabhängig davon, ob es sich bei dem Vorfall tatsächlich um einen Datenverstoß handelt oder nicht, finden Sie hier einige Maßnahmen, mit denen Sie sich schützen können:

Seien Sie vor allem vorsichtig bei E-Mails, SMS oder Anrufen, die angeblich von VRChat oder den von Ihnen genutzten Spieleplattformen stammen, da Cyberkriminelle Sicherheitslücken häufig für Phishing-Betrug ausnutzen.

Falls Sie Ihr VRChat-Passwort auch an anderer Stelle verwendet haben, ändern Sie die Passwörter dieser Konten umgehend und richten Sie die Zwei-Faktor-Authentifizierung (2FA) für Ihr VRChat-Konto ein, falls Sie dies noch nicht getan haben.

Allgemeinere Ratschläge finden Sie in unserem Artikel darüber,was zu tun ist, wenn Sie feststellen, dass Sie von einer Datenpanne betroffen sind.

Aktualisierung vom 11. Juni 2026: Der Artikel wurde aktualisiert, um den Beitrag von VRChat auf Reddit zu berücksichtigen.

Bevor wir unseren ursprünglichen Artikel veröffentlichten, haben wir versucht, VRChat über zwei verschiedene E-Mail-Adressen zu kontaktieren, erhielten jedoch keine aussagekräftige Antwort.


Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.

Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl. 

Über den Autor

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.