Chess.com ha revelado una violación de datos después de que los actores de amenaza obtuvieron acceso no autorizado a una aplicación de transferencia de archivos de terceros utilizada por la plataforma.
El incidente ocurrió en junio de 2025, con los actores de amenaza manteniendo el acceso a dicha solicitud durante dos semanas, entre el 5 de junio y el 18 de junio.
Chess.com descubrió la violación el 19 de junio de 2025 y lanzó una investigación para determinar su alcance e impacto.
«El 19 de junio de 2025, Chess.com se dio cuenta del posible acceso no autorizado a los datos almacenados en una aplicación de transferencia de archivos de terceros utilizada por Chess.com», dice el aviso enviado a los usuarios afectados.
«Al tomar conciencia del incidente, comenzamos una investigación, conservamos a los principales expertos, notificamos a la policía federal y comenzamos a tomar medidas para abordar el incidente».
Según la investigación, el incidente afecta solo a un porcentaje muy pequeño de la base de usuarios masiva de 100 millones de la plataforma, que se estima que es poco más de 4.500 usuarios.
Chess.com es uno de los portales de ajedrez en línea más grandes del mundo, que funciona como una plataforma de alojamiento de partidos y también un sitio web de redes sociales para los amantes del juego.
La plataforma ha enfatizado que el incidente solo afectó a la aplicación de terceros sin nombre, mientras que su propia infraestructura y cuentas de miembros no se vieron afectadas.
Aún así, los datos a los que se puede acceder incluyen nombres y otra información de identificación personal (PII) que no se ha incluido en los avisos de muestra Chess.com compartido con las autoridades.
Chess.com señaló que no se ha expuesto información financiera, y no tiene evidencia de que los datos robados hayan sido revelados o utilizados públicamente todavía.
La plataforma establece que ha tomado medidas adicionales para asegurar sus sistemas y notificado en consecuencia. También ofrece a los miembros impactados 1-2 años de robo de identidad gratuito y servicios de monitoreo de crédito.
Los destinatarios de cartas se dan hasta el 3 de diciembre de 2025, para inscribirse en los servicios ofrecidos, pero se recomienda hacerlo lo antes posible.
En noviembre de 2023, Chess.com sufrió otro incidente cibernético, donde más de 800,000 registros de usuarios fueron raspados de su sitio web explotando un defecto de API y luego se publicaron en un foro de piratería.
La información expuesta en ese caso incluida, Según Haveibeenpwneddirecciones de correo electrónico, nombres completos, nombres de usuario y ubicaciones geográficas.
BleepingComuter se ha puesto en contacto con Chess.com para preguntar sobre qué tipos de datos se han expuesto y también el nombre del tercero que se violó, pero todavía estamos esperando una respuesta.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
