افشای رخنه دادهای در Chess.com به دلیل آسیبپذیری در File Transfer App
پلتفرم Chess.com اعلام کرده است که مهاجمان سایبری در ژوئن ۲۰۲۵ موفق به دسترسی غیرمجاز به یک third-party file transfer application مورد استفاده این پلتفرم شدهاند.
این رخنه بین تاریخهای ۵ ژوئن تا ۱۸ ژوئن ۲۰۲۵ ادامه داشته و در تاریخ ۱۹ ژوئن ۲۰۲۵ توسط Chess.com شناسایی شد. پس از کشف حادثه، این شرکت تحقیقاتی را آغاز کرده، از کارشناسان امنیتی پیشرو کمک گرفته، موضوع را به مراجع فدرال اطلاع داده و اقدامات اصلاحی را برای رفع مشکل آغاز کرده است.
بر اساس یافتههای اولیه، این رخنه تنها بر روی بخش بسیار کوچکی از پایگاه کاربران Chess.com تأثیر گذاشته و اطلاعات حدود ۴,۵۰۰ کاربر (از مجموع بیش از ۱۰۰ میلیون کاربر) در معرض خطر قرار گرفته است.
Chess.com تأکید کرده که این حادثه صرفاً مربوط به اپلیکیشن شخص ثالث بوده و زیرساختها و حسابهای اعضای پلتفرم آسیب ندیدهاند. با این حال، دادههای در معرض خطر شامل نام و سایر اطلاعات شخصی (PII) است، هرچند در اطلاعیههای رسمی منتشرشده برای مقامات جزئیات کامل ارائه نشده است.
این شرکت اعلام کرده هیچگونه financial data افشا نشده و شواهدی مبنی بر انتشار عمومی یا سوءاستفاده از دادههای سرقتشده وجود ندارد. Chess.com همچنین اقدام به تقویت امنیت سامانههای خود کرده، نیروهای انتظامی را مطلع ساخته و برای کاربران آسیبدیده خدمات identity theft protection و credit monitoring به مدت ۱ تا ۲ سال بهصورت رایگان فراهم کرده است. کاربران تا ۳ دسامبر ۲۰۲۵ فرصت دارند برای استفاده از این خدمات ثبتنام کنند.
این دومین رخنه امنیتی Chess.com در دو سال اخیر است. در نوامبر ۲۰۲۳ نیز بیش از ۸۰۰ هزار رکورد کاربری از طریق سوءاستفاده از یک API flaw استخراج و در انجمنهای هکری منتشر شد. دادههای افشاشده شامل ایمیلها، نام کامل، نام کاربری و موقعیت جغرافیایی بودند.
در حال حاضر، BleepingComputer برای دریافت جزئیات بیشتر از Chess.com درخصوص نوع دادههای افشاشده و نام شرکت شخص ثالث مورد نفوذ، در انتظار پاسخ است.