L’État du Maine a fermé son portail public de notification des violations de données après la publication de signalements frauduleux sur son site web. Cette situation a poussé les autorités à examiner leurs procédures pour empêcher de nouveaux abus.
Plus tôt, de faux signalements concernant des violations de données, usurpant l’identité de Discord et de la plateforme de réalité virtuelle sociale VRChat, avaient été soumis via le portail officiel de l’État. La société VRChat a immédiatement indiqué que ce dépôt était frauduleux et avait été effectué sous le nom d’un employé fictif.
Le bureau du Procureur général du Maine a reconnu que des canulars avaient été soumis via son système de déclaration. Dans un communiqué, il précise : « Nous avons été informés d’un abus apparent de notre système de signalement des violations de données. Après avoir échangé avec VRChat, l’une des deux entreprises concernées, il est clair que les violations signalées étaient des canulars soumis par une entité inconnue sans lien avec ces sociétés. »
Ces faux rapports ont été supprimés de la base de données. Le bureau a aussi indiqué qu’il n’avait pas connaissance de signalements légitimes récents émanant de VRChat ou de Discord.
En conséquence, l’accès public à la base de données des notifications a été temporairement désactivé. Le Procureur général du Maine procède à un examen des procédures de déclaration pour réduire les risques d’abus futurs. Auparavant, les notifications soumises étaient automatiquement publiées dans la base publique.
Les entreprises peuvent continuer à soumettre leurs notifications via le service dédié, mais le public qui souhaite consulter ces déclarations doit désormais contacter directement le bureau du Procureur général.
Ce portail est régulièrement utilisé par des journalistes, des chercheurs et des sociétés de renseignement sur les menaces pour surveiller les incidents de sécurité nouvellement révélés et vérifier si les organisations signalent correctement les cyberattaques qui affectent les consommateurs.
Cet incident montre comment la publication automatique des déclarations peut être exploitée pour répandre de fausses informations et nuire à la réputation d’une entreprise. Le faux dossier concernant VRChat affirmait qu’une fuite de données touchait plus de 2,4 millions de personnes et incluait le nom d’un contact employé inventé.
Après vérification, VRChat a confirmé que la notification était fausse et n’avait pas été envoyée par ses services aux autorités du Maine. Une demande de commentaire a également été adressée à Discord à propos de l’avis frauduleux, mais aucune réponse n’a été obtenue.
On ignore combien d’autres notifications frauduleuses ont pu être soumises via le portail avant la suspension de l’accès public à la base de données.