Văn phòng Tổng chưởng lý Maine đã tạm thời gỡ bỏ cơ sở dữ liệu công khai về báo cáo lỗ hổng CVE sau khi phát hiện một thực thể không xác định đã gửi các thông báo vi phạm dữ liệu giả mạo nhắm vào hai nền tảng trực tuyến lớn là VRChat và Discord. Hành vi này được các quan chức mô tả là sự lạm dụng có chủ đích hệ thống khai báo vi phạm của tiểu bang.
Lạm dụng Hệ thống Báo cáo Vi phạm Dữ liệu
Vào ngày 12 tháng 6 năm 2026, văn phòng Tổng chưởng lý Maine đã đưa ra tuyên bố chính thức xác nhận rằng các báo cáo vi phạm dữ liệu liên quan đến VRChat và Discord là những trò lừa đảo. Các hồ sơ sai sự thật này được đệ trình bởi một bên thứ ba không xác định, không có mối liên hệ nào với cả hai công ty.
Sau khi trao đổi trực tiếp với VRChat, một trong hai tổ chức được nêu tên, các quan chức đã xác nhận rằng các thông báo là hoàn toàn bịa đặt. Cả hai mục nhập gian lận đã bị xóa khỏi cơ sở dữ liệu công khai.
Chi tiết về các Báo cáo Giả mạo
Theo các báo cáo trước đó, một hồ sơ giả mạo cho biết Discord đã gặp sự cố “hành vi sai trái của nội bộ” làm lộ dữ liệu cá nhân của hơn 10 triệu người dùng. Một hồ sơ riêng biệt khác lại cáo buộc VRChat làm rò rỉ dữ liệu của khoảng 2,4 triệu người dùng, được ký bởi một nhân viên không tồn tại.
Cả hai công ty đều khẳng định không đệ trình các báo cáo này. Đây là một ví dụ điển hình về mối đe dọa mạng có thể khai thác điểm yếu trong quy trình công khai thông tin.
Phân tích Lỗ hổng Hệ thống
Luật thông báo vi phạm của Maine được xem là một trong những quy định nghiêm ngặt nhất tại Hoa Kỳ. Theo đó, các công ty bắt buộc phải thông báo cho văn phòng Tổng chưởng lý ngay cả khi chỉ một cư dân Maine bị ảnh hưởng bởi một vụ vi phạm.
Ngưỡng thấp này đã biến cổng thông tin công khai của Maine trở thành nguồn tham khảo quan trọng cho các nhà nghiên cứu bảo mật, nhà báo và luật sư trong việc tìm kiếm các thông báo vi phạm sớm.
Điểm mấu chốt là văn phòng Tổng chưởng lý đã thừa nhận rằng các đệ trình được đưa trực tiếp từ biểu mẫu báo cáo trực tuyến lên cổng thông tin công khai mà không có sự xác minh độc lập. Thiết kế truy cập mở này, mặc dù nhằm đảm bảo tính minh bạch và công khai kịp thời, đã tạo ra một kẽ hở có thể bị khai thác.
Kẽ hở này đã bị kẻ giấu mặt lợi dụng để cài cắm thông tin sai lệch trên một trang web chính phủ có thẩm quyền, cho thấy sự tồn tại của rủi ro bảo mật tiềm ẩn trong các hệ thống tự động hóa.
Biện pháp Khắc phục và Đề xuất
Văn phòng Tổng chưởng lý Maine đã tạm thời gỡ bỏ cơ sở dữ liệu báo cáo vi phạm dữ liệu công khai trong khi xem xét lại quy trình nội bộ để ngăn chặn các hành vi lạm dụng trong tương lai, đồng thời vẫn duy trì quyền truy cập công khai vào dữ liệu vi phạm hợp pháp. Các tổ chức yêu cầu nộp báo cáo vi phạm vẫn có thể tiếp tục thực hiện thông qua dịch vụ báo cáo trực tuyến của văn phòng.
Những người cần thông tin từ các báo cáo hiện có có thể liên hệ trực tiếp với Bộ phận Bảo vệ Người tiêu dùng của Tổng chưởng lý. Sự cố này làm nổi bật một lỗ hổng mang tính hệ thống trong các cổng tuân thủ của chính phủ được tự báo cáo và xuất bản tự động.
Lời khuyên cho Cộng đồng An ninh Mạng
Các chuyên gia bảo mật và nhà báo nên coi tất cả các mục nhập trên cổng thông tin là chưa được xác minh cho đến khi có xác nhận trực tiếp từ công ty bị ảnh hưởng. Các vụ vi phạm quy mô lớn thực tế thường tạo ra các thông tin xác thực chéo trên nhiều phương tiện truyền thông độc lập, thông báo chính thức của công ty hoặc các hồ sơ pháp lý. Một mục nhập giả mạo hiếm khi tạo ra cả ba yếu tố này đồng thời.
Danh tính của cá nhân hoặc nhóm đứng sau các đệ trình gian lận vẫn chưa được biết, và không có vụ bắt giữ nào được báo cáo tính đến thời điểm công bố. Sự cố này nhấn mạnh tầm quan trọng của việc xác minh thông tin, đặc biệt là trong lĩnh vực an ninh mạng, nơi thông tin sai lệch có thể gây ra những hậu quả nghiêm trọng.
Để đảm bảo an toàn và bảo mật thông tin, các tổ chức cần liên tục cập nhật các biện pháp bảo vệ và quy trình xác minh thông tin. Sự kiện này cũng là lời nhắc nhở về tầm quan trọng của việc bảo mật các hệ thống thông tin, ngay cả những hệ thống tưởng chừng như đơn giản nhất.
Nguồn tham khảo: Văn phòng Tổng chưởng lý Maine.
