VRChat, Inc. hat eine Meldung über eine Datenpanne eingereicht, aus der hervorgeht , dass die Daten von mehr als 2,4 Millionen Nutzern von einer Datenpanne betroffen waren.
Aktualisierung vom 11. Juni 2026
Oder hat jemand, der vorgab, das Unternehmen zu vertreten, diese Meldung über die Datenpanne veröffentlicht? Auf Reddit schrieb ein Vertreter von VRChat:
VRChat hat diese Meldung über einen Datenvorfall nicht eingereicht, und wir haben keinen Grund zu der Annahme, dass unsere Systeme kompromittiert wurden. Wir sind dabei, uns an die Generalstaatsanwaltschaft von Maine zu wenden, um die Meldung entfernen zu lassen.
Bevor wir unseren ursprünglichen Artikel veröffentlichten, haben wir versucht, VRChat über zwei verschiedene E-Mail-Adressen zu kontaktieren, erhielten jedoch keine aussagekräftigen Antworten.
Laut der Mitteilung kam es bei VRChat zwischen dem 10. und 12. Mai 2026 zu einem unbefugten Zugriff auf bestimmte Kontodaten. Der Zugriff erfolgte offenbar in der Cloud-Umgebung von VRChat und betraf Nutzerprofile sowie Anmeldedaten.
Die offengelegten Informationen variierten je nach Konto, konnten jedoch Folgendes umfassen:
- VRChat-Benutzername
- Mit dem VRChat-Konto verknüpfte E-Mail-Adresse
- Status des VRChat+-Abonnements
- Anmeldungsverlauf, einschließlich Geräteinformationen, Hardware-Kennungen und IP-Adressen
VRChat versichert ausdrücklich, dass Passwörter, Kreditkartennummern oder andere Zahlungsdaten sowie amtliche Ausweisdokumente, die zur Altersüberprüfung verwendet wurden, nicht kompromittiert wurden.
VRChat ist eine soziale Plattform, die in erster Linie für Virtual-Reality-Headsets entwickelt wurde und es den Nutzern ermöglicht, über selbst erstellte 3D-Avatare und -Welten mit anderen zu interagieren. Nutzer können über Steam für den PC, den Meta Quest Store oder als Android für kompatible Geräte auf VRChat zugreifen.
Da keine Passwörter oder Zahlungskartendaten offengelegt wurden, ist ein direkter Kartenbetrug oder eine sofortige Übernahme der Zahlungsmethoden allein durch diesen Vorfall unwahrscheinlich. Doch auch ohne Passwörter oder Kartendaten birgt die Kombination aus Identifikationsdaten, E-Mail-Adressen und IP-/Gerätedaten mehrere Risiken für die betroffenen Nutzer.
Mögliche Risiken
Phishing
Cyberkriminelle nutzen möglicherweise VRChat-Benutzernamen und E-Mail-Adressen für gezielte Phishing-Angriffe. So können Nutzer beispielsweise Phishing-E-Mails oder plattforminterne Nachrichten erhalten, die angeblich vom „VRChat-Support“ stammen und gefälschte Sicherheitswarnungen enthalten oder dazu auffordern, „die Altersüberprüfung zu bestätigen“, indem sie auf einen bösartigen Link klicken.
Die Kenntnis des VRChat+-Abonnementstatus könnte Betrugsversuche glaubwürdiger machen. Ein Betrüger könnte maßgeschneiderte Köder wie „Abrechnungsproblem bei Ihrem VRChat+-Abonnement“ oder Rückerstattungsbetrug versenden, die bei zahlenden Nutzern tendenziell höhere Klickraten erzielen.
Kontoübernahme
Cyberkriminelle könnten Benutzernamen und E-Mail-Adressen aus diesem Datenleck mit Passwörtern kombinieren, die bei anderen Datenlecks gestohlen wurden, und diese bei VRChat-Konten ausprobieren. Diese als „Credential Stuffing“ bezeichnete Technik nutzt die Tatsache aus, dass Nutzer Passwörter auf mehreren Websites wiederverwenden.
Wertvolle Accounts können dann an andere Spieler verkauft oder für Betrugsversuche missbraucht werden.
Identity
Mit VRChat-Konten verknüpfte Steam- und Meta-Benutzer-IDs können Cyberkriminellen dabei helfen, Identitäten über Gaming- und soziale Plattformen hinweg miteinander zu verknüpfen, insbesondere wenn dieselbe E-Mail-Adresse oder derselbe Profilname wiederverwendet wird.
IP-Adressen, Anmeldedaten, Geräteinformationen und andere Identifikatoren können ebenfalls dazu beitragen, ein detaillierteres Werbe- oder Tracking-Profil eines Nutzers zu erstellen.
Wie man sicher bleibt
VRChat gibt an, zusätzliche Sicherheitsmaßnahmen eingeführt und Fachleute beauftragt zu haben, um nach weiteren Bedrohungen Ausschau zu halten. Falls Sie von dem Datenleck betroffen sind, können Sie folgende Maßnahmen ergreifen, um sich zu schützen:
Seien Sie vor allem vorsichtig bei E-Mails, SMS oder Anrufen, die angeblich von VRChat oder den von Ihnen genutzten Spieleplattformen stammen, da Cyberkriminelle Sicherheitslücken häufig für Phishing-Betrug ausnutzen.
Falls Sie Ihr VRChat-Passwort auch an anderer Stelle verwendet haben, ändern Sie die Passwörter dieser Konten umgehend und richten Sie die Zwei-Faktor-Authentifizierung (2FA) für Ihr VRChat-Konto ein, falls Sie dies noch nicht getan haben.
Allgemeinere Ratschläge finden Sie in unserem Artikel darüber,was zu tun ist, wenn Sie feststellen, dass Sie von einer Datenpanne betroffen sind.
Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.
Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl.
