Foi apresentada uma notificação de violação de dados ao Procurador-Geral do Maine, informando que os dados de mais de 2,4 milhões de usuários do VRChat foram violados.
A questão é: foi a VRChat quem publicou o aviso de violação, ou foi alguém que se fez passar por representante da empresa? No Reddit, um representante da VRChat publicou:
O VRChat não enviou esta Notificação de Incidente de Dados, e não temos motivos para acreditar que nossos sistemas tenham sido comprometidos. Estamos entrando em contato com o Gabinete do Procurador-Geral do Maine para solicitar a remoção desta notificação.
O comunicado sobre a violação de segurança informa que o VRChat sofreu um acesso não autorizado a alguns dados de contas entre 10 e 12 de maio de 2026. O acesso teria ocorrido no ambiente de nuvem do VRChat e envolveu dados de perfis de usuários e informações relacionadas ao login.
De acordo com o comunicado, as informações expostas variaram de acordo com a conta, mas podem ter incluído:
- Nome de usuário no VRChat
- Endereço de e-mail associado à conta do VRChat
- Status da assinatura do VRChat+
- Histórico de login, incluindo informações do dispositivo, identificadores de hardware e endereços IP
O VRChat é uma plataforma social desenvolvida principalmente para óculos de realidade virtual, permitindo que os usuários interajam uns com os outros por meio de avatares e mundos 3D criados pelos próprios usuários. Os usuários podem acessar o VRChat pelo Steam para PC, pela Meta Quest Store ou como um Android em dispositivos compatíveis.
O comunicado afirma que nenhuma senha ou dado de cartão de pagamento foi comprometido. No entanto, mesmo sem senhas ou dados de cartão, ainda existem riscos potenciais no que diz respeito a outros dados que foram violados.
Phishing
Os cibercriminosos podem usar nomes de usuário e endereços de e-mail em tentativas de phishing direcionadas. Por exemplo, os usuários podem receber e-mails de phishing ou mensagens dentro da plataforma que alegam ser do “Suporte”, com alertas de segurança falsos ou solicitações para “confirmar sua idade” por meio de um link malicioso.
O conhecimento do status da assinatura pode tornar os golpes mais convincentes. Um golpista poderia enviar iscas personalizadas, como “problema de cobrança com sua assinatura” ou golpes envolvendo reembolso, que costumam ter taxas de cliques mais altas entre os usuários pagantes.
Aquisição de conta
Os cibercriminosos podem combinar nomes de usuário e endereços de e-mail obtidos em uma violação com senhas roubadas em outras violações de dados e tentar acessar contas com essas combinações. Essa técnica, conhecida como “credential stuffing”, tira proveito das pessoas que reutilizam senhas em vários sites.
Essas contas valiosas podem então ser vendidas a outros jogadores ou utilizadas para golpes.
Identity
Os IDs de usuário do Steam e do Meta associados a contas comprometidas podem ajudar os cibercriminosos a relacionar identidades entre plataformas de jogos e redes sociais, especialmente se o mesmo e-mail ou nome de perfil for reutilizado.
Endereços IP, histórico de login, informações sobre o dispositivo e outros identificadores também podem ajudar a criar um perfil publicitário ou de rastreamento mais detalhado de um usuário.
Como se manter seguro
Independentemente de a violação vir a ser ou não uma violação real, aqui estão algumas medidas que você pode tomar para se proteger:
Em primeiro lugar, tenha cuidado com e-mails, mensagens de texto ou ligações que aleguem ser do VRChat ou das plataformas de jogos nas quais você o utilizou, pois os cibercriminosos costumam explorar brechas de segurança por meio de golpes de phishing.
Se você já usou sua senha do VRChat em algum outro lugar, altere as senhas dessas contas imediatamente e configure a autenticação de dois fatores (2FA) na sua conta do VRChat, caso ainda não tenha feito isso.
Você pode encontrar mais orientações gerais em nosso artigo sobreo que fazer ao descobrir que está envolvido em uma violação de dados.
Atualização de 11 de junho de 2026: O artigo foi atualizado para refletir a publicação do VRChat no Reddit.
Antes de publicar nosso artigo original, tentamos entrar em contato com a VRChat por meio de dois endereços de e-mail diferentes, mas não recebemos nenhuma resposta significativa.
Vamos ser sinceros: uma janela anônima tem suas limitações.
Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade.




