VRChat, Inc. ha presentato una segnalazione di violazione dei dati in cui si rivela che le informazioni di oltre 2,4 milioni di utenti sono state oggetto di una violazione.
Aggiornamento dell'11 giugno 2026
Oppure è stato qualcuno che fingeva di rappresentare l'azienda a pubblicare questo avviso sulla violazione dei dati? Su Reddit, un rappresentante di VRChat ha scritto:
VRChat non ha presentato questa segnalazione di violazione dei dati e non abbiamo motivo di ritenere che i nostri sistemi siano stati compromessi. Stiamo contattando l'ufficio del Procuratore Generale del Maine per farla rimuovere.
Prima di pubblicare il nostro articolo originale, abbiamo cercato di contattare VRChat tramite due diversi indirizzi e-mail, ma non abbiamo ricevuto alcuna risposta significativa.
Secondo quanto riportato nell'avviso, tra il 10 e il 12 maggio 2026 si è verificato un accesso non autorizzato ad alcuni dati degli account su VRChat. L'accesso sarebbe avvenuto nell'ambiente cloud di VRChat e avrebbe riguardato i profili degli utenti e i dati relativi all'accesso.
Le informazioni divulgate variavano a seconda dell'account, ma potevano includere:
- Nome utente VRChat
- Indirizzo e-mail associato all'account VRChat
- Stato dell'abbonamento a VRChat+
- Cronologia degli accessi, comprese le informazioni sui dispositivi, gli identificatori hardware e gli indirizzi IP
VRChat dichiara espressamente che le password, i numeri delle carte di credito o altre informazioni di pagamento, nonché i documenti di identità ufficiali utilizzati per la verifica dell'età non sono stati compromessi.
VRChat è una piattaforma social pensata principalmente per i visori di realtà virtuale, che consente agli utenti di interagire con gli altri attraverso avatar e mondi 3D creati dagli utenti stessi. È possibile accedere a VRChat tramite Steam per PC, il Meta Quest Store o come Android per dispositivi compatibili.
Poiché non sono state divulgate password né dati delle carte di pagamento, è improbabile che questa violazione comporti di per sé frodi dirette sulle carte o l'appropriazione immediata dei metodi di pagamento. Tuttavia, anche in assenza di password o dati delle carte, la combinazione di identificativi, indirizzi e-mail e dati relativi agli IP e ai dispositivi comporta diversi rischi per gli utenti coinvolti.
Rischi potenziali
Phishing
I criminali informatici potrebbero utilizzare nomi utente e indirizzi e-mail di VRChat per sferrare attacchi di phishing mirati. Ad esempio, gli utenti potrebbero ricevere e-mail di phishing o messaggi all'interno della piattaforma che fingono di provenire dal "Supporto VRChat", contenenti falsi avvisi di sicurezza o richieste di "confermare la verifica dell'età" tramite un link dannoso.
La conoscenza dello stato dell'abbonamento a VRChat+ potrebbe rendere le truffe più convincenti. Un truffatore potrebbe inviare messaggi mirati del tipo «problema di fatturazione con il tuo abbonamento a VRChat+» o truffe relative ai rimborsi, che tendono ad avere tassi di clic più elevati tra gli utenti paganti.
Appropriazione indebita dell'account
I criminali informatici potrebbero combinare i nomi utente e gli indirizzi e-mail ottenuti da questa violazione con le password rubate in altre violazioni dei dati e provarli sugli account VRChat. Questa tecnica, nota come "credential stuffing", sfrutta il fatto che molte persone riutilizzano le stesse password su più siti.
Gli account di valore possono quindi essere venduti ad altri giocatori o utilizzati per truffe.
Identity
Gli ID utente di Steam e Meta associati agli account VRChat possono aiutare i criminali informatici a collegare le identità tra piattaforme di gioco e social, soprattutto se si riutilizza lo stesso indirizzo e-mail o lo stesso nome utente.
Gli indirizzi IP, la cronologia degli accessi, le informazioni sui dispositivi e altri identificatori possono inoltre contribuire a creare un profilo pubblicitario o di tracciamento più dettagliato dell'utente.
Come stare al sicuro
VRChat afferma di aver implementato ulteriori misure di sicurezza e di aver incaricato dei professionisti di monitorare eventuali nuove minacce. Se sei stato coinvolto nella violazione, ecco alcune misure che puoi adottare per proteggerti:
Prima di tutto, prestate attenzione alle e-mail, agli SMS o alle telefonate che dichiarano di provenire da VRChat o dalle piattaforme di gioco su cui lo avete utilizzato, poiché i criminali informatici spesso sfruttano tali vulnerabilità per mettere in atto truffe di phishing.
Se hai utilizzato la tua password di VRChat su altri siti, modifica immediatamente le password di quegli account e, se non l'hai ancora fatto, attiva l'autenticazione a due fattori (2FA) sul tuo account VRChat.
Per ulteriori consigli generali, consulta il nostro articolo sucosa fare quando scopri di essere stato coinvolto in una violazione dei dati.
Ammettiamolo, una finestra in incognito ha i suoi limiti.
Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità.
