缅因州关闭数据泄露门户后提交虚假报告

执行摘要

缅因州的司法部长在至少提交了两份欺诈性通知后，将其公共数据泄露报告门户下线——一份声称VRChat的240万用户遭受了数据泄露，另一份针对Discord。这个门户被安全研究人员和记者广泛用于追踪泄露通知，根据缅因州司法部长办公室的新闻稿，直到提交程序的审计完成，该门户将对公众不可访问。

技术分析

由缅因州司法部长运营的数据泄露门户，一直是根据缅因州数据泄露通知法追踪企业泄露披露的免费资源。该门户允许公司提交泄露通知，且几乎不需要验证——这种设计选择使其对透明度很有价值，但也容易受到滥用。

在2026年6月11日，一个假通知以一个不存在的VRChat员工的名义发布，声称虚拟现实社交平台的240万客户遭受了泄露。提交使用了伪造的VRChat信纸。第二份欺诈性通知是针对Discord的。缅因州司法部长办公室在新闻稿中确认，这两份都是“恶作剧”，办公室“不知道这两家公司最近有任何合法的数据泄露报告”。

VRChat发表声明称，公司要求移除假通知，但缅因州没有迅速采取行动。“尽管我们尽了最大努力，这份通知还是挂了好几个小时，”VRChat说。“我们想非常清楚地表明，我们没有理由相信我们的数据和系统被泄露，我们也没有提交任何关于数据泄露的官方通知。”

首先报道关闭情况的The Record指出，可能还发布了额外的欺诈性通知，但缅因州只确认了针对Discord和VRChat的提交是恶作剧。门户缺乏提交前的审查，使其容易被利用——安全研究人员之前已经将此标记为风险。

缓解措施与建议

依赖缅因州门户获取泄露情报的防御者应该监控其他州级泄露数据库，如加利福尼亚州、纽约州和德克萨斯州运营的数据库，这些数据库可能有不同提交验证流程。组织还应该在采取行动前直接与被命名的公司核实任何泄露通知。目前，公众可以联系缅因州司法部长办公室查询“现有”的泄露报告，尽管在线数据库仍然离线。