Isso é provavelmente causado pelo cliente, não pelo servidor (bem, indiretamente, pode ser). Se não é apenas um URL mal formado (um que é bloqueado por 400 antes de ser capaz de acionar 404), em 99% dos casos isso é causado por
- cookies corrompidos (podem, por exemplo, ser causados por extensões)
- cookies bloqueados
- muitos cookies (alguns navegadores bloqueiam grandes quantidades de cookies)
- cliente tentando uma solicitação enganosa (presumo involuntariamente)
Se você quiser testar a suposição de cookie bloqueado, bloquear cookies no seu navegador e verificar se você recebe um erro 400, o resto é um pouco mais complicado, veja: link
Como você já disse que foi corrigido com a atualização dos cookies, presumo que esteja relacionado a cookies.
Editar:
Eu tenho outro ângulo: a solicitação foi sobre http (não criptografada) e inclui um referenciador com a solicitação GET que inclui a string "username". Isso faz com que os usuários que visitam o site com esse referenciador em seu cabeçalho sejam identificáveis, ainda mais, a solicitação pode ser visualizada por um homem no meio em texto não criptografado.
Desde que o Google iniciou uma espécie de guerra contra o tráfego http não criptografado, presumi que o Chrome causa alguns problemas. Esta é apenas uma suposição, porém, não posso confirmar isso ou fazer o backup. Mas vale a pena tentar desde que você deve criptografar seu tráfego anywas.
Você tem https configurado no seu servidor e, em caso afirmativo, você pode tentar reproduzir o mesmo erro ao usar https?