Substack conferma violazione: esposti dati di centinaia di migliaia utenti

Substack conferma violazione: esposti dati di centinaia di migliaia utenti

La piattaforma di newsletter Substack ha notificato gli utenti di una violazione di sicurezza avvenuta in ottobre 2025, ma scoperta solo il 3 febbraio. Esposti email, numeri di telefono e metadati interni, senza coinvolgimento di credenziali o dati finanziari. L'azienda ha corretto la vulnerabilità e invita alla cautela contro phishing

di pubblicata il , alle 16:21 nel canale Sicurezza
 

Substack, popolare piattaforma per newsletter indipendente, ha informato gli utenti interessati di un incidente di sicurezza che ha permesso a un terzo non autorizzato di accedere a dati limitati. L'accesso è avvenuto in ottobre 2025, ma e' stato identificato solo il 3 febbraio 2026 dal team interno, come comunicato dal CEO Chris Best nella email di notifica, condivisa su Bluesky dal giornalista Steve Herman.

"I'm reaching out to let you know about a security incident that resulted in the email address and phone number from your Substack account being shared without your permission. … This sucks. I'm sorry. We will work very hard to make sure it does not happen again." - Chris Best, CEO of Substack

[image or embed]

— Steve Herman (@newsguy.bsky.social) 5 febbraio 2026, 03:23

Best ha espresso rammarico per l'accaduto, sottolineando che Substack prende sul serio la protezione dei dati e della privacy, ma in questo caso ha mancato l'obiettivo. La societa' non ha ancora rivelato il numero esatto di utenti colpiti, anche se un attore malevolo ha pubblicato su BreachForums un database con circa 697.000 record presumibilmente legati all'incidente.

Le informazioni compromesse includono indirizzi email, numeri di telefono e altri metadati interni, come date di creazione account o liste di sottoscrizioni, ma non carte di credito, password o dettagli finanziari. Substack ha già corretto la vulnerabilità sfruttata nell'attacco e sta conducendo un'indagine completa per rafforzare i sistemi e i processi.

Non emergono evidenze di un uso improprio dei dati al momento, ma l'azienda raccomanda agli utenti di prestare attenzione extra a email o SMS sospetti, potenziali vettori di phishing o smishing. Il ritardo di quattro mesi nella rilevazione solleva interrogativi sulle capacita' di monitoraggio della piattaforma.

Contesto e implicazioni

Substack, lanciata nel 2017, conta oltre cinque milioni di sottoscrizioni a pagamento al marzo 2025 e attrae giornalisti indipendenti e creator grazie alla sua infrastruttura. Incidenti come questo possono incidere sulla fiducia degli utenti in un settore competitivo, dove i dati di contatto aggregati rappresentano un target appetibile per i cybercriminali.

La piattaforma non ha dettagliato la natura tecnica della falla ne' confermato notifiche alle autoritè o servizi di protezione identità. Gli utenti sono invitati a monitorare gli account, attivare l'autenticazione a due fattori e segnalare attività anomale.

I migliori sconti su Amazon oggi
-27%

TCL 55T6C 55'' QLED TV 4K HDR, FireTV (SmartTV con Dolby Vision e Atmos, HDR10+, Premi e Chiedi ad Alexa)

449.00 329.90 Compra ora
-27%

LEFANT M330Pro Robot Aspirapolvere Lavapavimenti con Mappatura, Navigazione dToF, Zona vietata, Evitamento ostacoli PSD, Aspirazione 5000Pa, 150 minuti, Pulizia programmata, Alexa/APP/WiFi,Nero

140.33 Compra ora
-27%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.90 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^