Chess.com раскрыла утечку данных после того, как злоумышленники получили несанкционированный доступ к стороннему приложению для передачи файлов которое использует платформа.
Инцидент произошел в июне 2025 года, при этом злоумышленники поддерживали доступ к указанному приложению в течение двух недель, с 5 по 18 июня.
Chess.com обнаружила утечку 19 июня 2025 года и инициировала расследование для определения масштаба и последствий инцидента.
"19 июня 2025 года Chess.com стало известно о возможном несанкционированном доступе к данным, хранящимся в приложении для передачи файлов, используемом Chess.com," - гласит уведомление, отправленное затронутым пользователям.
"После осведомленности об инциденте мы начали расследование, привлекли ведущих экспертов, уведомили федеральные правоохранительные органы и начали принимать меры для устранения последствий инцидента."
По данным расследования, инцидент затронул лишь очень небольшой процент из 100 миллионов пользователей платформы, оцениваемый примерно в 4,500 пользователей.
Chess.com является одной из крупнейших онлайн-платформ для игры в шахматы, функционирующей как платформа для проведения матчей и социальной сети для любителей этой игры.
Платформа подчеркивает, что инцидент затронул только неназванное стороннее приложение, в то время как её собственная инфраструктура и учетные записи пользователей остались не затронутыми.
Однако данные, которые могли быть получены, включают имена и другую личную идентификационную информацию (PII), которая не была включена в образцы уведомлений, которые Chess.com предоставила властям.
Chess.com отметила, что никакая финансовая информация не была раскрыта, и у нее нет доказательств того, что украденные данные были публично раскрыты или использованы злоумышленниками.
Платформа заявила, что приняла дополнительные меры для обеспечения безопасности своих систем и уведомила об этом правоохранительные органы. Она также предлагает затронутым пользователям 1-2 года бесплатных услуг мониторинга кражи личности и кредитных данных.
Получатели уведомлений имеют до 3 декабря 2025 года, чтобы зарегистрироваться на предложенные услуги, но рекомендуется сделать это как можно скорее.
В ноябре 2023 года Chess.com пережила другой киберинцидент, когда более 800,000 записей пользователей были скопированы с её веб-сайта путем эксплуатации уязвимости API и позже размещены на форуме хакеров.
По данным HaveIBeenPwned, в тот раз были раскрыты электронные адреса, полные имена, имена пользователей и географические местоположения.
BleepingComputer связался с Chess.com, чтобы узнать, какие типы данных были раскрыты, а также имя третьей стороны, которая была подвергнута атаке, но мы все еще ждем ответа.
- Источник: https://www.bleepingcomputer[.]com/...ses-recent-data-breach-via-file-transfer-app/
Инцидент произошел в июне 2025 года, при этом злоумышленники поддерживали доступ к указанному приложению в течение двух недель, с 5 по 18 июня.
Chess.com обнаружила утечку 19 июня 2025 года и инициировала расследование для определения масштаба и последствий инцидента.
"19 июня 2025 года Chess.com стало известно о возможном несанкционированном доступе к данным, хранящимся в приложении для передачи файлов, используемом Chess.com," - гласит уведомление, отправленное затронутым пользователям.
"После осведомленности об инциденте мы начали расследование, привлекли ведущих экспертов, уведомили федеральные правоохранительные органы и начали принимать меры для устранения последствий инцидента."
По данным расследования, инцидент затронул лишь очень небольшой процент из 100 миллионов пользователей платформы, оцениваемый примерно в 4,500 пользователей.
Chess.com является одной из крупнейших онлайн-платформ для игры в шахматы, функционирующей как платформа для проведения матчей и социальной сети для любителей этой игры.
Платформа подчеркивает, что инцидент затронул только неназванное стороннее приложение, в то время как её собственная инфраструктура и учетные записи пользователей остались не затронутыми.
Однако данные, которые могли быть получены, включают имена и другую личную идентификационную информацию (PII), которая не была включена в образцы уведомлений, которые Chess.com предоставила властям.
Chess.com отметила, что никакая финансовая информация не была раскрыта, и у нее нет доказательств того, что украденные данные были публично раскрыты или использованы злоумышленниками.
Платформа заявила, что приняла дополнительные меры для обеспечения безопасности своих систем и уведомила об этом правоохранительные органы. Она также предлагает затронутым пользователям 1-2 года бесплатных услуг мониторинга кражи личности и кредитных данных.
Получатели уведомлений имеют до 3 декабря 2025 года, чтобы зарегистрироваться на предложенные услуги, но рекомендуется сделать это как можно скорее.
В ноябре 2023 года Chess.com пережила другой киберинцидент, когда более 800,000 записей пользователей были скопированы с её веб-сайта путем эксплуатации уязвимости API и позже размещены на форуме хакеров.
По данным HaveIBeenPwned, в тот раз были раскрыты электронные адреса, полные имена, имена пользователей и географические местоположения.
BleepingComputer связался с Chess.com, чтобы узнать, какие типы данных были раскрыты, а также имя третьей стороны, которая была подвергнута атаке, но мы все еще ждем ответа.
- Источник: https://www.bleepingcomputer[.]com/...ses-recent-data-breach-via-file-transfer-app/