افشای رخنه داده‌ای در Chess.com به دلیل آسیب‌پذیری در File Transfer App

پلتفرم Chess.com اعلام کرده است که مهاجمان سایبری در ژوئن ۲۰۲۵ موفق به دسترسی غیرمجاز به یک third-party file transfer application مورد استفاده این پلتفرم شده‌اند.

این رخنه بین تاریخ‌های ۵ ژوئن تا ۱۸ ژوئن ۲۰۲۵ ادامه داشته و در تاریخ ۱۹ ژوئن ۲۰۲۵ توسط Chess.com شناسایی شد. پس از کشف حادثه، این شرکت تحقیقاتی را آغاز کرده، از کارشناسان امنیتی پیشرو کمک گرفته، موضوع را به مراجع فدرال اطلاع داده و اقدامات اصلاحی را برای رفع مشکل آغاز کرده است.

بر اساس یافته‌های اولیه، این رخنه تنها بر روی بخش بسیار کوچکی از پایگاه کاربران Chess.com تأثیر گذاشته و اطلاعات حدود ۴,۵۰۰ کاربر (از مجموع بیش از ۱۰۰ میلیون کاربر) در معرض خطر قرار گرفته است.

Chess.com تأکید کرده که این حادثه صرفاً مربوط به اپلیکیشن شخص ثالث بوده و زیرساخت‌ها و حساب‌های اعضای پلتفرم آسیب ندیده‌اند. با این حال، داده‌های در معرض خطر شامل نام و سایر اطلاعات شخصی (PII) است، هرچند در اطلاعیه‌های رسمی منتشرشده برای مقامات جزئیات کامل ارائه نشده است.

این شرکت اعلام کرده هیچ‌گونه financial data افشا نشده و شواهدی مبنی بر انتشار عمومی یا سوءاستفاده از داده‌های سرقت‌شده وجود ندارد. Chess.com همچنین اقدام به تقویت امنیت سامانه‌های خود کرده، نیروهای انتظامی را مطلع ساخته و برای کاربران آسیب‌دیده خدمات identity theft protection و credit monitoring به مدت ۱ تا ۲ سال به‌صورت رایگان فراهم کرده است. کاربران تا ۳ دسامبر ۲۰۲۵ فرصت دارند برای استفاده از این خدمات ثبت‌نام کنند.

این دومین رخنه امنیتی Chess.com در دو سال اخیر است. در نوامبر ۲۰۲۳ نیز بیش از ۸۰۰ هزار رکورد کاربری از طریق سوءاستفاده از یک API flaw استخراج و در انجمن‌های هکری منتشر شد. داده‌های افشا‌شده شامل ایمیل‌ها، نام کامل، نام کاربری و موقعیت جغرافیایی بودند.

در حال حاضر، BleepingComputer برای دریافت جزئیات بیشتر از Chess.com درخصوص نوع داده‌های افشاشده و نام شرکت شخص ثالث مورد نفوذ، در انتظار پاسخ است.