Popüler Satranç Platformu Chess.com’da Veri Sızıntısı: Binlerce Kullanıcı Etkilendi!
100 milyondan fazla kullanıcısıyla dünyanın en büyük çevrimiçi satranç platformu olan Chess.com, bazı müşterilerini etkileyen bir veri sızıntısı yaşadığını doğruladı. Şirket, gönderdiği bildirimlerde, sızıntının doğrudan kendi altyapılarında değil, platform tarafından kullanılan üçüncü parti bir dosya transfer uygulamasında meydana gelen bir güvenlik ihlali sonucunda dolaylı olarak yaşandığını belirtti.
Sızıntının Detayları ve Kapsamı
Bleeping Computer‘ın haberine göre, olayın detayları şu şekilde:
- Nasıl Oldu?: İsimi açıklanmayan üçüncü parti bir dosya transfer uygulamasındaki bir güvenlik açığı istismar edildi.
- Ne Zaman Oldu?: Olay, 5 Haziran ve 18 Haziran 2025 tarihleri arasında gerçekleşti. Chess.com, sızıntıyı 19 Haziran’da fark etti.
- Etkilenen Kullanıcı Sayısı: Yaklaşık 4,500 kullanıcı.
- Çalınan Veriler: Kişisel Tanımlayıcı Bilgiler (PII – Personally Identifiable Information).
- Çalınmayan Veriler: Finansal verilerin (kredi kartı vb.) bu sızıntıdan etkilenmediği vurgulandı.
Chess.com, olayı fark ettikten hemen sonra ilgili yasa uygulayıcı kurumları bilgilendirdiğini ve sızıntının kapsamını değerlendirmek için güvenlik uzmanlarıyla çalıştığını belirtti.
Chess.com’un Adımları ve Mağdurlara Sunduğu Teklif
100 milyonluk kullanıcı tabanına kıyasla 4.500 kişinin etkilenmesi küçük bir rakam gibi görünse de, şirket olayı ciddiye alıyor.
- Bildirim: Etkilenen tüm kullanıcılara bildirim gönderildi.
- Ücretsiz Koruma: Mağdur olan kullanıcılara, iki yıllık ücretsiz kimlik hırsızlığı ve kredi izleme hizmeti sunuluyor. Etkilenenlerin bu ücretsiz hizmetlere kaydolmak için 3 Aralık 2025’e kadar süreleri var.
Şu an için, çalınan verilerin internette veya kötü niyetli aktörler tarafından kötüye kullanıldığına dair bir kanıt bulunmuyor.
Techneiro Analizi: Tedarik Zinciri Saldırılarının Gücü
Chess.com’un bu sızıntısı, modern siber güvenliğin en büyük zorluklarından biri olan tedarik zinciri saldırılarının mükemmel bir örneğidir. Saldırganlar, 100 milyon kullanıcıya sahip, iyi korunan bir kaleye (Chess.com) doğrudan saldırmak yerine, o kalenin hizmet aldığı daha küçük ve potansiyel olarak daha az güvenli bir “tedarikçiyi” (üçüncü parti dosya transfer uygulaması) hedef alarak içeri sızdılar. Bu olay, bir şirketin güvenliğinin, sadece kendi altyapısının değil, aynı zamanda iş yaptığı en zayıf halkanın güvenliği kadar olduğunu acı bir şekilde gösteriyor. Bu, Salesloft saldırısında da gördüğümüz gibi, şirketlerin sadece kendi güvenliklerine değil, kullandıkları tüm üçüncü parti hizmetlerin güvenliğine de yatırım yapmaları gerektiğinin altını çizen, giderek yaygınlaşan bir trenddir.
Bir platformun, kendi sunucuları yerine kullandığı bir üçüncü parti uygulama yüzünden sızıntı yaşaması, o platforma olan güveninizi nasıl etkiler? Sizce bu tür tedarik zinciri risklerine karşı kim sorumlu: Hizmeti sunan ana platform mu, yoksa sızıntının yaşandığı üçüncü parti uygulama mı? Düşüncelerinizi yorumlarda bizimle paylaşın!
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
