缅因州总检察长办公室周五确认,其公开的数据泄露通报系统近期收到了假冒企业的欺诈性报告,其中一份冒充了多人社交虚拟现实平台VRChat,另一份则指向Discord。办公室在声明中表示,已经意识到该系统被“明显滥用”,并在与VRChat沟通后确认,这两起泄露申报纯属恶作剧,由不明第三方提交,与两家公司没有任何关系。这些伪造的通报已经被从数据库中移除,官方目前也没有掌握任何有关VRChat或Discord近期发生真实数据泄露的信息。
事件回溯到一天前。科技媒体BleepingComputer率先报道了出现在该门户网站上的可疑通报,其中一个声称VRChat遭遇了影响超过240万人的数据泄露,并附上了一名虚构员工的姓名。当记者向VRChat核实时,公司直接回应称该通报是伪造的,他们从未向缅因州当局提交过此类通知。BleepingComputer同时也联系了Discord,但未获得回应。在那时,网站收到的通报信息会自动公开发布,几乎没有人工审核环节。
在关闭公众访问之前,缅因州的这套系统一直以直通模式运行:提交者填写好信息后,内容会直接上架到公告数据库。此前办公室在回应媒体质询时也坦承:“我们并不独立掌握这些泄露事件的情况,信息由提交方填写后直接显示在网站上。我们会审核您标记的那份。”这种将即时发布与事后核查相结合的流程,为想要编造事故、操纵舆论的人留下了可乘之机。
周五的声明标志着政府意识到问题并着手收紧管理。总检察长办公室已经暂时禁止公众访问通报数据库,同时将审查报告流程,以防范未来类似的滥用。企业仍然可以通过后台服务提交合规的数据泄露通知,但任何希望查阅副本的公众成员,现在都必须直接联系总检察长办公室。这一临时举措搁置了该门户作为新闻工作者、研究人员和威胁情报公司常用工具的开放性。通常,这些群体依赖该数据库追踪新披露的安全事件,判断企业是否按规定报告了影响消费者的网络攻击或信息泄露。
这起事件暴露出自动化披露机制的一体两面:在提升信息流转效率的同时,也可能成为散布虚假信息、损害企业声誉的通道。虚假的VRChat通报就是一个典型例子——一个不存在的联系人、一个夸大的受害人数,就能借助政府官网的背书在网上传播。目前尚不清楚从门户开放到被关闭的这段时间里,是否还有其他伪造的泄露通知潜伏在数据中。这一遭遇提醒,即便是旨在服务公共利益的透明化设计,也需要在易用性和真实性校验之间找到更稳妥的平衡。
热门跟贴