Los datos extraídos de Chess.com fueron filtrados en Breach Forums el 8 de noviembre de 2023 por un actor de amenazas que operaba bajo el alias ‘DrOne’.
Un actor de amenazas que opera bajo el alias ‘DrOne’ se ha atribuido la responsabilidad de filtrar la base de datos eliminada de Chess.com que contiene datos personales de más de 800.000 usuarios registrados.
Chess.com es una plataforma en línea muy popular para los entusiastas del ajedrez y un sitio web de redes sociales. En 2023, la plataforma cuenta con más de 150 millones de usuarios registrados, lo que indica que los registros filtrados representan aproximadamente sólo el 0,533% de la base total de usuarios.
La base de datos se publicó el 8 de noviembre de 2023 en Breach Forums, una conocida plataforma para piratas informáticos y actividades de ciberdelincuencia. Curiosamente, este foro vio recientemente a otro actor de amenazas filtrar una base de datos extraída de LinkedIn apenas un par de días antes, que contenía información de 25 millones de usuarios.
Los datos filtrados
Después de un análisis exhaustivo de la base de datos de Chess.com realizado por Hackread.com, los análisis confirma la exposición de datos personales de 828.327 usuarios registrados. La información filtrada incluye:
- Nombres completos
- Nombres de usuario
- Enlaces de perfil
- Correos electrónicos
- Países de origen de los usuarios
- URL de avatar (que contienen imágenes de perfil)
- Identificador universalmente único (UUID) e ID de usuario
- Fecha de registro (con el registro más reciente en septiembre de 2023)
El web scraping es difícil de evitar/bloquear
El web scraping o data scraping es un proceso automatizado utilizado por el software para extraer datos de sitios web, principalmente para recopilar información específica de las páginas web. El proceso es casi imposible de bloquear ya que Chess.com es un sitio web grande.
Los sitios web grandes utilizan una variedad de medidas para evitar el scraping, como la limitación de velocidad y los desafíos de captcha. Sin embargo, los scrapers desarrollan constantemente nuevas técnicas para eludir estas medidas y algunos scrapers pueden recopilar datos con fines de investigación, como estudiar redes sociales o desarrollar modelos de aprendizaje automático.
Chess.com y la ciberseguridad
Esta no es la primera vez que Chess.com aparece en los titulares por cuestiones relacionadas con la ciberseguridad. En febrero de 2021 , un conocido hacker ético, Sam Curry, descubrió e informó sobre una vulnerabilidad crítica dentro de la plataforma. Esta falla permitió al investigador acceder potencialmente a cualquier cuenta del sitio, incluida la cuenta de administrador.
Esta nueva infracción representa una amenaza importante para los usuarios de Chess.com, ya que podría facilitar diversas estafas, como el robo de identidad y el phishing. Para los usuarios de Chess.com, se recomienda encarecidamente cambiar su contraseña no sólo en la plataforma sino también en cualquier otra cuenta en línea donde se utilice la misma contraseña.
Los ciberdelincuentes pueden implementar tácticas de phishing , enviando correos electrónicos con enlaces que conducen a sitios web maliciosos que imitan a Chess.com u otras plataformas legítimas. Es fundamental abstenerse de hacer clic en dichos enlaces. Sin embargo, puedes comprobar de forma segura la URL real pasando el cursor sobre el enlace antes de hacer clic en él.
Fuente: Hackread.com