第三方檔案傳輸工具漏洞導致 Chess.com 4,500 名用戶資料外洩

內容輸出

2025年6月，Chess.com 公布一宗重大資安事件，約4,500名用戶受到影響。事件由攻擊者利用第三方檔案傳輸應用程式的漏洞所引起，於2025年6月5日至18日間，未經授權的駭客透過該工具入侵 Chess.com 外部基礎架構，並進一步滲透至內部系統。

出問題的第三方供應商成為攻擊入口，凸顯外部依賴帶來的重大網路安全風險。攻擊者成功竊取受影響帳戶的敏感個人資料，包括使用者名稱、電子郵件地址及其他用戶資訊。Chess.com 完成調查並通知用戶後，於2025年9月4日正式向麻薩諸塞州總檢察長通報此事件。

本次資料外洩揭示供應鏈安全中的關鍵漏洞，也說明就算僅與外部服務商間接合作，仍可能讓用戶資料遭受高階威脅。該事件提醒企業必須嚴格審查供應商安全並持續監控第三方存取權限。處理敏感資訊的機構，必須為所有可連結基礎架構的外部工具與服務建立完整安全措施。

Chess.com 過去也曾發生影響超過80萬名用戶的外洩事件，顯示該平台資安機制持續存在漏洞。儘管2025年6月事件影響人數較少，但再次證明第三方漏洞是高效率攻擊途徑，亟需即時修補並加強監控。

Chess.com 資料外洩事件突顯供應鏈安全風險

2025年6月 Chess.com 資料外洩揭露出軟體供應鏈的重大漏洞，這類風險遠超單一組織範疇。攻擊者利用第三方檔案傳輸應用程式的薄弱環節，持續兩週未被發現，直到6月19日才被識破——這段時間落差揭示現有安全機制的偵測盲點。

此事件突顯消費級 SaaS 平台的供應鏈風險。機構平均會使用超過220款 SaaS 應用，透過整合及供應商形成龐大攻擊面。常見威脅包括套件投毒、CI/CD流程遭攻擊，以及開源依賴憑證外洩，都可能導致惡意軟體在生態系擴散。

Chess.com 案例顯示傳統安全措施難以應對供應鏈的複雜性。攻擊者專門鎖定第三方系統，而非核心基礎架構，反映出行業傾向利用外部薄弱環節的趨勢。數據顯示，軟體供應鏈攻擊日益嚴重，易受攻擊的開源套件和商業二進位檔案成為持續入口。

應對這些風險需綜合採取措施，包括導入軟體材料清單（SBOM）、程式簽章驗證、自動化依賴掃描，以及嚴格供應商風險管理。機構應定期依據 NIST 架構與 CISA 指南進行供應鏈評估，及時發現並防範新興漏洞。

潛在影響：身份盜用、網路釣魚及社會工程攻擊

資料外洩嚴重威脅用戶財務及個人安全。Chess.com 事件於2025年6月洩露了4,541名用戶個人資訊，清楚顯示遭竊憑證可被用於惡意活動。

威脅者運用多種手法利用竊取資料。身份盜用發生於犯罪分子利用外洩資訊開設虛假帳戶或進行非法交易時。網路釣魚詐騙尤為隱蔽，攻擊者冒充合法平台發送誘導訊息，進一步竊取用戶憑證與敏感資料。

社會工程攻擊依賴心理操控而非技術漏洞，利用人性信任與行為習慣。遭駭用戶資料庫為攻擊者提供電子郵件、使用者名稱及帳戶細節，使其能發動更具針對性的社會工程攻擊，成功率明顯提升。

Chess.com 資料外洩反映出安全基礎架構薄弱所帶來的連鎖效應。攻擊者藉由外部系統漏洞非法取得資料，並與其他平台外洩資訊交叉比對，大幅擴大影響範圍，使本次事件演變為多平台資安危機，波及多家服務及金融機構用戶。

常見問題

國際象棋中的「棋子」叫什麼？

在國際象棋中，「棋子」稱為 pieces，共有六種：pawn（兵）、rook（車）、knight（馬）、bishop（象）、queen（后）、king（王）。

Chess 代幣的價值是多少？

截至2025年，CHESS 代幣價值大幅成長，目前市場價格顯示其在 Web3 生態及去中心化國際象棋平台上的廣泛應用與實用性。

國際象棋中的「goti」叫什麼？

「goti」是印地語對國際象棋中 pawn（兵）的稱呼，每位玩家在棋盤上初始擁有16枚棋子。

Chess 代幣總量是多少？

CHESS 代幣總供應量為10億枚，呼應國際象棋策略的無限可能性。