Foi apresentada uma notificação de violação de dados ao Procurador-Geral do Maine, indicando que os dados de mais de 2,4 milhões de utilizadores do VRChat foram violados.
A questão é: foi a VRChat que apresentou a notificação de violação, ou foi alguém que se fez passar por representante da empresa que a publicou? No Reddit, um representante da VRChat publicou:
O VRChat não apresentou este Aviso de Incidente de Dados, e não temos motivos para acreditar que os nossos sistemas tenham sido comprometidos. Estamos a contactar o Gabinete do Procurador-Geral do Maine para que esta informação seja removida.
O aviso de violação indica que o VRChat sofreu um acesso não autorizado a alguns dados de contas entre 10 e 12 de maio de 2026. O acesso terá ocorrido no ambiente de nuvem do VRChat e envolveu dados relacionados com os perfis dos utilizadores e com o processo de início de sessão.
De acordo com o aviso, as informações expostas variaram consoante a conta, mas podem ter incluído:
- Nome de utilizador no VRChat
- Endereço de e-mail associado à conta do VRChat
- Estado da subscrição do VRChat+
- Histórico de início de sessão, incluindo informações sobre o dispositivo, identificadores de hardware e endereços IP
O VRChat é uma plataforma social concebida principalmente para óculos de realidade virtual, permitindo aos utilizadores interagir com outras pessoas através de avatares e mundos 3D criados pelos próprios utilizadores. Os utilizadores podem aceder ao VRChat através do Steam para PC, da Meta Quest Store ou como Android em dispositivos compatíveis.
O comunicado indica que não foram divulgadas senhas nem dados de cartões de pagamento. No entanto, mesmo sem senhas ou dados de cartões, continuam a existir riscos potenciais no que diz respeito a outros dados que foram alvo de violação.
Phishing
Os cibercriminosos podem utilizar nomes de utilizador e endereços de e-mail em tentativas de phishing direcionadas. Por exemplo, os utilizadores podem receber e-mails de phishing ou mensagens dentro da plataforma que alegam ser do «Apoio ao Cliente», com alertas de segurança falsos ou solicitações para «confirmar a sua idade» através de um link malicioso.
O conhecimento do estado da subscrição pode tornar os esquemas fraudulentos mais convincentes. Um burlão pode enviar iscos personalizados, como «problemas de faturação com a sua subscrição» ou esquemas de reembolso, que tendem a ter taxas de cliques mais elevadas entre os utilizadores pagantes.
Aquisição de conta
Os cibercriminosos podem combinar nomes de utilizador e endereços de e-mail obtidos numa violação de dados com palavras-passe roubadas noutras violações e utilizá-las para tentar aceder a contas. Esta técnica, conhecida como «credential stuffing», aproveita-se do facto de as pessoas reutilizarem as mesmas palavras-passe em vários sites.
As contas valiosas podem então ser vendidas a outros jogadores ou utilizadas para esquemas fraudulentos.
Identity
Os IDs de utilizador do Steam e do Meta associados a contas comprometidas podem ajudar os cibercriminosos a estabelecer ligações entre identidades em plataformas de jogos e redes sociais, especialmente se o mesmo endereço de e-mail ou nome de perfil for reutilizado.
Os endereços IP, o histórico de início de sessão, as informações do dispositivo e outros identificadores também podem ajudar a criar um perfil publicitário ou de rastreamento mais detalhado de um utilizador.
Como se manter seguro
Quer a violação venha a ser ou não uma violação real, eis algumas medidas que pode tomar para se proteger:
Em primeiro lugar, tenha cuidado com e-mails, mensagens de texto ou chamadas que aleguem ser do VRChat ou das plataformas de jogos em que o utilizou, uma vez que os cibercriminosos costumam aproveitar-se de falhas de segurança para realizar esquemas de phishing.
Se já utilizou a sua palavra-passe do VRChat noutro sítio qualquer, altere imediatamente as palavras-passe dessas contas e ative a autenticação de dois fatores (2FA) na sua conta do VRChat, caso ainda não o tenha feito.
Pode encontrar mais conselhos gerais no nosso artigo sobreo que fazer quando descobrir que foi afetado por uma violação de dados.
Atualização de 11 de junho de 2026: O artigo foi atualizado para refletir a publicação do VRChat no Reddit.
Antes de publicarmos o nosso artigo original, tentámos contactar a VRChat através de dois endereços de e-mail diferentes, mas não obtivemos qualquer resposta significativa.
Sejamos realistas, uma janela de navegação anónima tem as suas limitações.
Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade.




