O Chess.com revelou ter sofrido uma violação de dados após agentes mal-intencionados obterem acesso não autorizado a uma aplicação third-party de file transfer utilizada pela plataforma.
O incidente ocorreu em junho de 2025, com os invasores mantendo acesso à referida aplicação por duas semanas, entre 5 e 18 de junho.
O Chess.com descobriu a violação em 19 de junho de 2025 e iniciou uma investigação para determinar o escopo e o impacto do ocorrido.
“Em 19 de junho de 2025, o Chess.com tomou conhecimento de um possível acesso não autorizado a dados armazenados em uma aplicação third-party de file transfer utilizada pelo Chess.com”, afirma o comunicado enviado aos usuários afetados.
Assim que tomamos conhecimento do incidente, iniciamos uma investigação, contratamos especialistas renomados, notificamos órgãos federais de segurança e começamos a tomar medidas para conter o incidente.
De acordo com a apuração, o incidente atingiu apenas uma parcela muito pequena da enorme base de 100 milhões de usuários da plataforma, estimada em pouco mais de 4.500 pessoas.
O Chess.com é um dos maiores portais de xadrez online do mundo, atuando como uma plataforma de hosting de partidas e também como uma rede social para entusiastas do jogo.
A plataforma ressaltou que o incidente afetou somente a aplicação third-party não identificada, enquanto sua própria infraestrutura e as contas dos membros permaneceram intactas.
Ainda assim, os dados que podem ter sido acessados incluem nomes e outras informações pessoalmente identificáveis (PII) que não foram incluídas nas notificações enviadas pelo Chess.com às autoridades.
O Chess.com afirmou que nenhuma informação financeira foi exposta e que não há evidências de que os dados roubados tenham sido divulgados publicamente ou utilizados indevidamente até o momento.
A plataforma informou que tomou medidas adicionais para reforçar a segurança de seus sistemas e notificou as autoridades competentes.
Além disso, oferece aos membros afetados entre 1 e 2 anos de serviços gratuitos de monitoramento de identidade e crédito.
Os destinatários das cartas têm até 3 de dezembro de 2025 para se inscrever nos serviços oferecidos, mas a recomendação é que façam isso o quanto antes.
Em novembro de 2023, o Chess.com sofreu outro incidente cibernético, quando mais de 800 mil registros de usuários foram extraídos do site ao explorar uma vulnerabilidade em uma API e posteriormente publicados em um fórum de hackers.
As informações expostas naquele caso incluíam, segundo o HaveIBeenPwned, endereços de e-mail, nomes completos, usernames e localizações geográficas.
O BleepingComputer entrou em contato com o Chess.com para questionar quais tipos de dados foram expostos e também para obter o nome da third-party afetada, mas ainda aguarda uma resposta.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...