Chess.comは、同プラットフォームで使用されているサードパーティ製ファイル転送アプリケーションに不正アクセスがあったことを受け、データ侵害が発生したことを公表しました。
このインシデントは2025年6月に発生し、攻撃者は6月5日から6月18日までの2週間にわたり、当該アプリケーションへのアクセスを維持していました。
Chess.comは2025年6月19日にこの侵害を発見し、その範囲と影響を特定するための調査を開始しました。
「2025年6月19日、Chess.comは、Chess.comで使用しているサードパーティ製ファイル転送アプリケーションに保存されているデータへの不正アクセスの可能性を認識しました」と影響を受けたユーザーに送信された通知には記載されています。
「インシデントを認識した後、私たちは調査を開始し、業界をリードする専門家を雇い、連邦法執行機関に通知し、インシデントへの対応措置を講じ始めました。」
調査によると、このインシデントの影響を受けたのは、プラットフォームの1億人という膨大なユーザーのうち、わずか4,500人強というごく一部にとどまっています。
Chess.comは、世界最大級のオンラインチェスポータルの一つであり、対戦プラットフォームとしてだけでなく、チェス愛好家向けのソーシャルネットワーキングサイトとしても運営されています。
プラットフォームは、今回のインシデントが影響を与えたのは名前の明かされていないサードパーティアプリのみであり、自社のインフラや会員アカウントには影響がなかったことを強調しています。
それでも、アクセスされた可能性のあるデータには、氏名やその他の個人を特定できる情報(PII)が含まれている可能性があり、これはChess.comが当局と共有したサンプル通知には含まれていません。
Chess.comは、金融情報が流出していないこと、また盗まれたデータが現時点で公に開示されたり悪用されたりした証拠はないことを明らかにしています。
プラットフォームは、システムの安全性を高めるための追加措置を講じ、法執行機関にも通知したと述べています。また、影響を受けた会員には1~2年間の無料の個人情報盗難・クレジット監視サービスを提供しています。
通知を受け取った方は、2025年12月3日までに提供されたサービスに登録する必要がありますが、できるだけ早く登録することが推奨されています。
2023年11月にもChess.comは別のサイバーインシデントに見舞われており、その際はAPIの脆弱性を突かれて80万件以上のユーザーレコードがウェブサイトからスクレイピングされ、後にハッキングフォーラムに投稿されました。
その際に流出した情報には、HaveIBeenPwnedによると、メールアドレス、氏名、ユーザー名、地理的位置情報が含まれていました。
BleepingComputerは、どのようなデータが流出したのか、また侵害されたサードパーティの名称についてChess.comに問い合わせていますが、まだ回答は得られていません。
