Nel panorama dei servizi online, poche piattaforme possono vantare la stessa pervasività e fedeltà degli utenti di Chess.com. Con oltre 100 milioni di iscritti e 10 milioni di partite organizzate ogni giorno, il sito è il cuore pulsante del gioco degli scacchi online. Proprio per questo, la notizia di una violazione dati, per quanto circoscritta, non può che destare attenzione, soprattutto quando a essere colpito è un gigante che ha sempre giocato una partita a scacchi con la sicurezza informatica.
Secondo quanto riportato in una serie di comunicazioni inviate alle autorità del Maine e del Vermont, tra il 5 e il 18 giugno 2025, un attore non autorizzato è riuscito a violare un’applicazione di file transfer di terze parti utilizzata da Chess.com. L’intrusione ha portato all’esposizione dei dati personali di 4.541 utenti, una frazione minuscola – appena lo 0,003% – della sua sterminata user base, ma comunque significativa.
L’incidente, scoperto dalla società il 19 giugno e immediatamente segnalato alle forze dell’ordine federali statunitensi, ha tutte le caratteristiche di un attacco moderno: non un assalto frontale ai server principali della piattaforma, ma un ingresso laterale attraverso uno strumento di supporto, spesso meno sorvegliato. Chess.com si è affrettata a precisare che il suo codice non è stato compromesso e che le credenziali degli account, così come le informazioni bancarie, sono rimaste al sicuro. Ma il dubbio rimane: quali dati sono finiti nelle mani sbagliate? E, soprattutto, attraverso quale vulnerabilità?
Il comunicato ufficiale, per scelta o per obbligo normativo, tace sul tipo di informazioni trafugate e, punto ancor più cruciale, sul nome del fornitore del software di file transfer violato. Questa mancanza di trasparenza è un classico rompicapo nel post-incidente: da un lato c’è la necessità di informare gli utenti, dall’altra quella di non fornire ulteriori dettagli operativi a potenziali emulatori.
Tuttavia, il tempismo dell’attacco offre un indizio non da poco. Nel luglio 2025, proprio poche settimane dopo questa intrusione, due popolari applicativi per il trasferimento file, Wing FTP e CrushFTP, hanno annunciato di aver corretto vulnerabilità critiche che necessitavano di patch immediate da parte dei loro clienti. È un’ipotesi più che plausibile che gli hacker abbiano sfruttato proprio una di queste falle zero-day, o da poco scoperte, per accedere all’ambiente di Chess.com. Il fatto che l’attacco sia avvenuto a giugno e le patch siano state rilasciate a luglio suggerirebbe che gli aggressori siano stati più veloci degli amministratori di sistema nel individuare e sfruttare la debolezza.
La vicenda si inserisce in una trend preoccupante: gli attacchi non prendono più di mira solo il cuore operativo di un’azienda, ma i suoi anelli deboli, l’infrastruttura periferica spesso gestita da terze parti. Tool come quelli per il trasferimento file sono critici per le operazioni quotidiane, ma possono diventare un cavallo di Troia se non aggiornati con la stessa solerzia riservata ai server principali.
Chess.com ha gestito la crisi con il piglio di chi conosce le regole del gioco: trasparenza verso le autorità, notifica tempestiva agli utenti coinvolti e un investigation volta a contenere i danni. Allo stato attuale, nessun gruppo hacker ha rivendicato l’operazione e la piattaforma assicura che non ci sono prove della pubblicazione online dei dati rubati.
La prossima mossa, ora, spetta alla community della sicurezza: individuare il punto di ingresso e assicurarsi che altri non cadano nella stessa trappola, in un endless game dove la difesa deve sempre anticipare di una mossa l’attacco.