Er is een melding van een datalek ingediend bij de procureur-generaal van Maine, waarin wordt vermeld dat de gegevens van meer dan 2,4 miljoen gebruikers van VRChat zijn gelekt.
De vraag is: was het VRChat zelf dat de melding van het datalek heeft ingediend, of heeft iemand die zich voordeed als vertegenwoordiger van het bedrijf deze in plaats daarvan geplaatst? Op Reddit schreef een vertegenwoordiger van VRChat:
VRChat heeft deze melding van een datalek niet ingediend en wij hebben geen reden om aan te nemen dat onze systemen zijn gehackt. We zijn bezig contact op te nemen met het kantoor van de procureur-generaal van Maine om deze melding te laten verwijderen.
In de kennisgeving over het datalek staat dat er tussen 10 en 12 mei 2026 ongeoorloofde toegang is verkregen tot bepaalde accountgegevens van VRChat. De toegang zou hebben plaatsgevonden in de cloudomgeving van VRChat en betrof gebruikersprofielen en inloggegevens.
Volgens de mededeling verschilde de gelekte informatie per account, maar kan deze onder meer het volgende hebben omvat:
- VRChat-gebruikersnaam
- E-mailadres dat aan het VRChat-account is gekoppeld
- Status van het VRChat+-abonnement
- Inloggeschiedenis, inclusief apparaatgegevens, hardware-identificatiecodes en IP-adressen
VRChat is een sociaal platform dat in de eerste plaats is ontworpen voor virtual reality-headsets, waarmee gebruikers met elkaar kunnen communiceren via door gebruikers gemaakte 3D-avatars en -werelden. Gebruikers hebben toegang tot VRChat via Steam voor pc, de Meta Quest Store of als Android voor compatibele apparaten.
In de mededeling staat dat er geen wachtwoorden of betaalkaartgegevens zijn gelekt. Maar ook zonder wachtwoorden of kaartgegevens blijven er potentiële risico’s bestaan met betrekking tot andere gelekte gegevens.
Phishing
Cybercriminelen kunnen gebruikersnamen en e-mailadressen gebruiken bij gerichte phishing-pogingen. Gebruikers kunnen bijvoorbeeld phishing-e-mails of berichten binnen het platform ontvangen die zogenaamd afkomstig zijn van „Support“, met valse beveiligingswaarschuwingen of verzoeken om „je leeftijd te bevestigen“ via een schadelijke link.
Als oplichters weten of iemand een abonnement heeft, kunnen ze hun oplichting geloofwaardiger maken. Een oplichter zou dan op maat gemaakte lokberichten kunnen sturen, zoals „een factureringsprobleem met uw abonnement“ of terugbetalingszwendel, die bij betalende gebruikers doorgaans een hogere klikfrequentie opleveren.
Account overname
Cybercriminelen kunnen gebruikersnamen en e-mailadressen uit het ene datalek combineren met wachtwoorden die bij andere datalekken zijn gestolen, en deze vervolgens op verschillende accounts uitproberen. Deze techniek, die bekendstaat als ‘credential stuffing’, maakt misbruik van het feit dat mensen vaak hetzelfde wachtwoord op meerdere websites gebruiken.
Waardevolle accounts kunnen vervolgens aan andere spelers worden verkocht of voor oplichting worden gebruikt.
Identity
Steam- en Meta-gebruikers-ID’s die aan gehackte accounts zijn gekoppeld, kunnen cybercriminelen helpen om identiteiten op gaming- en sociale platforms met elkaar in verband te brengen, vooral als hetzelfde e-mailadres of dezelfde profielnaam opnieuw wordt gebruikt.
IP-adressen, inloggeschiedenis, apparaatgegevens en andere identificatiegegevens kunnen ook helpen bij het samenstellen van een gedetailleerder advertentie- of trackingprofiel van een gebruiker.
Hoe blijf ik veilig
Of het nu wel of niet om een daadwerkelijk datalek gaat, hier zijn enkele maatregelen die u kunt nemen om uzelf te beschermen:
Wees in de eerste plaats op uw hoede voor e-mails, sms-berichten of telefoontjes die zogenaamd afkomstig zijn van VRChat of de gamingplatforms waarop u het hebt gebruikt, aangezien cybercriminelen vaak misbruik maken van beveiligingslekken door middel van phishing-aanvallen.
Als je je VRChat-wachtwoord ook ergens anders hebt gebruikt, wijzig dan onmiddellijk de wachtwoorden van die accounts en schakel tweefactorauthenticatie (2FA) in voor je VRChat-account, mocht je dat nog niet hebben gedaan.
Meer algemeen advies vindt u in ons artikel overwat u moet doen als u ontdekt dat u te maken hebt met een datalek.
Update 11 juni 2026: Het artikel is bijgewerkt naar aanleiding van het bericht van VRChat op Reddit.
Voordat we ons oorspronkelijke artikel publiceerden, hebben we via twee verschillende e-mailadressen contact gezocht met VRChat, maar we hebben geen inhoudelijk antwoord ontvangen.
Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.
Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal.




