Chess.com discloses recent data breach via file transfer app

Compromission de données sur Chess.com via une application tierce

Une faille de sécurité a touché Chess.com en juin 2025, résultant d’un accès non autorisé à une application tierce de transfert de fichiers utilisée par la plateforme. Les acteurs malveillants ont exploité cette vulnérabilité pendant deux semaines, du 5 au 18 juin. Chess.com a découvert l’incident le 19 juin et a immédiatement lancé une enquête.

Points Clés :

• Cible : Une application tierce de transfert de fichiers utilisée par Chess.com.
• Période de Compromission : Du 5 au 18 juin 2025.
• Découverte : Le 19 juin 2025.
• Utilisateurs Affectés : Environ 4 500 utilisateurs, soit un très faible pourcentage de la base totale de 100 millions d’utilisateurs.
• Infrastructure Principale : L’infrastructure de Chess.com et les comptes membres directs n’ont pas été compromis.
• Impact : L’accès non autorisé pourrait concerner des noms et d’autres informations personnelles identifiables (PII). Aucune information financière n’a été exposée, et aucune preuve de divulgation publique ou de mauvaise utilisation des données volées n’a été trouvée à ce jour.

Vulnérabilités :

• L’article ne spécifie pas de CVE pour cette vulnérabilité, mais mentionne une “application tierce de transfert de fichiers”.

Recommandations :

• Chess.com a pris des mesures supplémentaires pour sécuriser ses systèmes.
• Les autorités compétentes ont été informées.
• Les utilisateurs affectés se voient offrir 1 à 2 ans de services gratuits de surveillance d’identité et de crédit. Il est conseillé aux personnes concernées de s’inscrire à ces services dès que possible, avant la date limite du 3 décembre 2025.

Il est à noter que Chess.com a déjà connu un incident de sécurité en novembre 2023, où plus de 800 000 enregistrements d’utilisateurs ont été extraits via une faille d’API.

Source