A VRChat, Inc. apresentou uma notificação de violação de dados revelando que as informações de mais de 2,4 milhões de utilizadores foram afetadas por uma violação de dados.
Atualização de 11 de junho de 2026
Ou terá sido alguém que se fez passar por representante da empresa a publicar este aviso de violação de dados? No Reddit, um representante do VRChat publicou:
O VRChat não apresentou este Aviso de Incidente de Dados, e não temos motivos para acreditar que os nossos sistemas tenham sido comprometidos. Estamos a contactar o Gabinete do Procurador-Geral do Maine para que esta informação seja removida.
Antes de publicarmos o nosso artigo original, tentámos contactar a VRChat através de dois endereços de e-mail diferentes, mas não recebemos respostas significativas.
De acordo com o comunicado, o VRChat sofreu um acesso não autorizado a alguns dados de contas entre 10 e 12 de maio de 2026. O acesso terá ocorrido no ambiente de nuvem do VRChat e envolveu dados relacionados com os perfis dos utilizadores e com o processo de início de sessão.
As informações expostas variavam consoante a conta, mas podiam incluir:
- Nome de utilizador no VRChat
- Endereço de e-mail associado à conta do VRChat
- Estado da subscrição do VRChat+
- Histórico de início de sessão, incluindo informações sobre o dispositivo, identificadores de hardware e endereços IP
A VRChat afirma explicitamente que as palavras-passe, os números de cartões de crédito ou outras informações de pagamento, bem como os documentos de identificação oficiais utilizados para a verificação da idade, não foram comprometidos.
O VRChat é uma plataforma social concebida principalmente para óculos de realidade virtual, permitindo aos utilizadores interagir com outras pessoas através de avatares e mundos 3D criados pelos próprios utilizadores. Os utilizadores podem aceder ao VRChat através do Steam para PC, da Meta Quest Store ou como Android em dispositivos compatíveis.
Uma vez que não foram expostas palavras-passe nem dados de cartões de pagamento, é improvável que esta violação, por si só, dê origem a fraudes diretas com cartões ou à apropriação imediata dos meios de pagamento. No entanto, mesmo sem palavras-passe ou dados de cartões, a combinação de identificadores, endereços de e-mail e dados de IP/dispositivos acarreta vários riscos para os utilizadores afetados.
Riscos potenciais
Phishing
Os cibercriminosos podem utilizar nomes de utilizador e endereços de e-mail do VRChat em tentativas de phishing direcionadas. Por exemplo, os utilizadores podem receber e-mails de phishing ou mensagens dentro da plataforma que alegam ser do «Suporte do VRChat», com alertas de segurança falsos ou solicitações para «confirmar a verificação da sua idade» através de um link malicioso.
O conhecimento do estado da subscrição do VRChat+ pode tornar os esquemas fraudulentos mais convincentes. Um burlão poderia enviar iscos personalizados, como «problema de faturação com a sua subscrição do VRChat+» ou esquemas de reembolso, que tendem a ter taxas de cliques mais elevadas entre os utilizadores pagantes.
Apropriação indevida de conta
Os cibercriminosos podem combinar nomes de utilizador e endereços de e-mail provenientes desta violação com palavras-passe roubadas noutras violações de dados e testá-las em contas do VRChat. Esta técnica, conhecida como «credential stuffing», aproveita-se do facto de as pessoas reutilizarem as mesmas palavras-passe em vários sites.
As contas valiosas podem então ser vendidas a outros jogadores ou utilizadas para esquemas fraudulentos.
Identity
Os IDs de utilizador do Steam e do Meta associados a contas do VRChat podem ajudar os cibercriminosos a estabelecer ligações entre identidades em plataformas de jogos e redes sociais, especialmente se o mesmo endereço de e-mail ou nome de perfil for reutilizado.
Os endereços IP, o histórico de início de sessão, as informações do dispositivo e outros identificadores também podem ajudar a criar um perfil publicitário ou de rastreamento mais detalhado de um utilizador.
Como se manter seguro
A VRChat afirma ter implementado medidas de segurança adicionais e contratado profissionais para monitorizar eventuais ameaças futuras. Se foi afetado por esta violação, eis algumas medidas que pode tomar para se proteger:
Em primeiro lugar, tenha cuidado com e-mails, mensagens de texto ou chamadas que aleguem ser do VRChat ou das plataformas de jogos em que o utilizou, uma vez que os cibercriminosos costumam aproveitar-se de falhas de segurança para realizar esquemas de phishing.
Se já utilizou a sua palavra-passe do VRChat noutro sítio qualquer, altere imediatamente as palavras-passe dessas contas e ative a autenticação de dois fatores (2FA) na sua conta do VRChat, caso ainda não o tenha feito.
Pode encontrar mais conselhos gerais no nosso artigo sobreo que fazer quando descobrir que foi afetado por uma violação de dados.
Sejamos realistas, uma janela de navegação anónima tem as suas limitações.
Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade.
