第三方文件传输工具漏洞致 Chess.com 4,500 用户数据泄露

内容输出

2025年6月，Chess.com 公布了一起重大安全事件，约4,500名用户受影响。事件源于攻击者利用第三方文件传输应用的漏洞，期间（2025年6月5日至18日），未经授权的黑客通过该工具入侵 Chess.com 外部基础设施，并进一步渗透至内部系统。

受损的第三方供应商成为攻击入口，凸显外部依赖带来的严重网络安全风险。攻击者成功窃取了受影响账户的敏感个人信息，包括用户名、邮箱地址及其他用户数据。Chess.com 调查并通知用户后，于2025年9月4日正式向马萨诸塞州总检察长报告了此事件。

此次数据泄露暴露了供应链安全中的关键漏洞，说明即使与外部服务商的间接合作，也可能让用户数据遭遇高级威胁。事件提醒企业需严格评估供应商安全并持续监控第三方访问权限。处理敏感信息的机构必须为所有可接入基础设施的外部工具和服务建立完善安全措施。

Chess.com 此前也曾发生过影响超过80万用户的泄露事件，表明平台安全体系存在持续性漏洞。尽管2025年6月事件影响用户数量较少，但再次证明第三方漏洞是高效攻击途径，亟需及时修复和强化监控。

Chess.com 数据泄露事件凸显供应链安全风险

2025年6月 Chess.com 数据泄露暴露了软件供应链的重大漏洞，这些风险远超单一组织。攻击者利用第三方文件传输应用的薄弱环节，持续两周未被发现，直到6月19日才被识别——这一时间差揭示了现有安全体系的检测盲区。

此次事件突显了消费级 SaaS 平台的供应链风险。机构平均使用超过220款SaaS应用，通过集成和供应商形成庞大攻击面。常见威胁包括软件包投毒、CI/CD流程被攻破，以及开源依赖中的凭证泄露，都可能导致恶意软件在整个生态扩散。

Chess.com 案例表明，传统安全措施难以应对供应链复杂性。攻击者专门锁定第三方系统而非核心基础设施，反映了行业倾向于利用外部薄弱环节的趋势。行业数据显示，软件供应链攻击愈发严重，易受攻击的开源软件包和商业二进制文件成为持续入口。

应对这些风险需综合措施，包括引入软件材料清单（SBOM）、代码签名验证、自动化依赖扫描及严格供应商风险管理。机构应定期依据 NIST 框架和 CISA 指南开展供应链评估，及时发现和防范新兴漏洞。

潜在影响：身份盗窃、网络钓鱼与社会工程攻击

数据泄露严重威胁用户财务与个人安全。Chess.com 事件于2025年6月泄露了4,541名用户的个人信息，充分说明被盗凭证可被用于恶意活动。

威胁者采用多种手段利用窃取数据。身份盗窃发生在犯罪分子用泄露信息开设虚假账户或进行非法交易时。网络钓鱼诈骗尤为隐蔽，攻击者伪装成正规平台发送诱导信息，进一步窃取用户凭证和敏感数据。

社会工程攻击依靠心理操控而非技术漏洞，利用人类信任和行为习惯。被攻破的用户数据库为攻击者提供邮箱、用户名和账户详情，使其能够发起更具针对性的社会工程攻击，成功率明显上升。

Chess.com 数据泄露体现了安全基础设施薄弱带来的连锁影响。攻击者通过外部系统漏洞非法获取数据，并与其他平台泄露的信息交叉比对，极大扩大影响范围，使本次事件演变为多平台安全危机，波及多家服务及金融机构用户。

常见问题

国际象棋中的“棋子”叫什么？

在国际象棋中，“棋子”称为 pieces，共有六类：pawn（兵）、rook（车）、knight（马）、bishop（象）、queen（后）、king（王）。

Chess 代币的价值是多少？

截至2025年，CHESS 代币价值大幅增长，目前市场价格显示其在 Web3 生态和去中心化国际象棋平台上的广泛应用与实用性。

国际象棋中的“goti”叫什么？

“goti”是印地语对国际象棋中 pawn（兵）的称呼，每位玩家在棋盘上初始拥有16枚棋子。

Chess 代币总量是多少？

CHESS 代币总供应量为10亿枚，契合国际象棋策略的无限可能性。