VRChat, Inc. heeft een melding van een datalek ingediend, waaruit blijkt dat de gegevens van meer dan 2,4 miljoen gebruikers bij een datalek betrokken waren.
Update 11 juni 2026
Of heeft iemand die zich voordeed als vertegenwoordiger van het bedrijf dit bericht over het datalek geplaatst? Op Reddit schreef een vertegenwoordiger van VRChat:
VRChat heeft deze melding van een datalek niet ingediend en wij hebben geen reden om aan te nemen dat onze systemen zijn gehackt. We zijn bezig contact op te nemen met het kantoor van de procureur-generaal van Maine om deze melding te laten verwijderen.
Voordat we ons oorspronkelijke artikel publiceerden, hebben we via twee verschillende e-mailadressen contact gezocht met VRChat, maar we hebben geen inhoudelijke reacties ontvangen.
Volgens de mededeling is er tussen 10 en 12 mei 2026 ongeoorloofde toegang verkregen tot bepaalde accountgegevens van VRChat. Deze toegang zou hebben plaatsgevonden in de cloudomgeving van VRChat en betrof gebruikersprofielen en inloggegevens.
De gelekte informatie verschilde per account, maar kan het volgende hebben omvat:
- VRChat-gebruikersnaam
- E-mailadres dat aan het VRChat-account is gekoppeld
- Status van het VRChat+-abonnement
- Inloggeschiedenis, inclusief apparaatgegevens, hardware-identificatiecodes en IP-adressen
VRChat verklaart uitdrukkelijk dat wachtwoorden, creditcardnummers of andere betalingsgegevens, en officiële identiteitsdocumenten die voor leeftijdsverificatie worden gebruikt, niet zijn gelekt.
VRChat is een sociaal platform dat in de eerste plaats is ontworpen voor virtual reality-headsets, waarmee gebruikers met elkaar kunnen communiceren via door gebruikers gemaakte 3D-avatars en -werelden. Gebruikers hebben toegang tot VRChat via Steam voor pc, de Meta Quest Store of als Android voor compatibele apparaten.
Aangezien er geen wachtwoorden of betaalkaartgegevens zijn gelekt, is het onwaarschijnlijk dat er alleen door dit beveiligingslek sprake zal zijn van directe kaartfraude of onmiddellijke overname van betaalmethoden. Maar zelfs zonder wachtwoorden of kaartgegevens brengt de combinatie van identificatiegegevens, e-mailadressen en IP-/apparaatgegevens verschillende risico’s met zich mee voor de getroffen gebruikers.
Mogelijke risico's
Phishing
Cybercriminelen kunnen gebruikersnamen en e-mailadressen van VRChat gebruiken bij gerichte phishing-pogingen. Gebruikers kunnen bijvoorbeeld phishing-e-mails of berichten binnen het platform ontvangen die zogenaamd afkomstig zijn van „VRChat Support“, met valse beveiligingswaarschuwingen of verzoeken om „je leeftijdsverificatie te bevestigen“ via een schadelijke link.
Als oplichters weten of iemand een VRChat+-abonnement heeft, kunnen ze hun oplichting geloofwaardiger maken. Een oplichter zou dan op maat gemaakte lokberichten kunnen sturen, zoals „een factureringsprobleem met je VRChat+-abonnement“ of terugbetalingszwendel, die bij betalende gebruikers doorgaans een hogere klikfrequentie opleveren.
Overname van een account
Cybercriminelen kunnen gebruikersnamen en e-mailadressen uit dit datalek combineren met wachtwoorden die bij andere datalekken zijn gestolen, en deze vervolgens gebruiken om in te loggen op VRChat-accounts. Deze techniek, die bekendstaat als credential stuffing, maakt misbruik van het feit dat mensen vaak hetzelfde wachtwoord op meerdere websites gebruiken.
Waardevolle accounts kunnen vervolgens aan andere spelers worden verkocht of voor oplichting worden gebruikt.
Identity
Steam- en Meta-gebruikers-ID’s die aan VRChat-accounts zijn gekoppeld, kunnen cybercriminelen helpen om identiteiten op gaming- en sociale platforms met elkaar in verband te brengen, vooral als hetzelfde e-mailadres of dezelfde profielnaam wordt hergebruikt.
IP-adressen, inloggeschiedenis, apparaatgegevens en andere identificatiegegevens kunnen ook helpen bij het samenstellen van een gedetailleerder advertentie- of trackingprofiel van een gebruiker.
Hoe blijf ik veilig
VRChat meldt dat het extra beveiligingsmaatregelen heeft genomen en deskundigen heeft ingeschakeld om te controleren op verdere bedreigingen. Als u door het datalek bent getroffen, kunt u de volgende stappen ondernemen om uzelf te beschermen:
Wees in de eerste plaats op uw hoede voor e-mails, sms-berichten of telefoontjes die zogenaamd afkomstig zijn van VRChat of de gamingplatforms waarop u het hebt gebruikt, aangezien cybercriminelen vaak misbruik maken van beveiligingslekken door middel van phishing-aanvallen.
Als je je VRChat-wachtwoord ook ergens anders hebt gebruikt, wijzig dan onmiddellijk de wachtwoorden van die accounts en schakel tweefactorauthenticatie (2FA) in voor je VRChat-account, mocht je dat nog niet hebben gedaan.
Meer algemeen advies vindt u in ons artikel overwat u moet doen als u ontdekt dat u te maken hebt met een datalek.
Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.
Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal.
