Il data breach contro Substack ha coinvolto informazioni personali degli utenti come “indirizzi e-mail e i numeri di telefono“.
A distanza di quattro mesi dal data breach, Substack ha scritto via e-mail ai suoi utenti, confermando l’accesso “ad indirizzi di posta elettronica e numeri di telefono“. La piattaforma per la pubblicazione di articoli online ha poi spiegato che la responsabilità sarebbe imputabile ad una “terza parte non autorizzata”.
Substack ha comunque precisato che non c’è stata la compromissione dei dati più sensibili. “I numeri delle carte di credito, password e informazioni finanziarie” non sarebbero stati coinvolti nell’incidente cyber.
L’argomento di dibattito, al contrario, sarebbero le tempistiche e le modalità con cui i tecnici della piattaforma hanno individuato il problema.
Chris Best (CEO, Substack): “Questa volta non siamo stati all’altezza“
Secondo quanto ha spiegato uno dei fondatori dell’azienda, nonché Amministratore delegato, Chris Best, la società ha individuato il problema solo nel mese di febbraio. E lo ha fatto quando ha scoperto una falla che permetteva l’accesso non autorizzato ai propri sistemi. Best ha assicurato che ci sia stata la correzione della vulnerabilità. Si è proceduto, inoltre, ad avviare un’indagine interna.
Così Best agli utenti: “Ti scrivo per informarti di un incidente di sicurezza. L’incidente ha comportato la condivisione, senza il tuo consenso, dell’indirizzo email e del numero di telefono associati al tuo account Substack. Sono incredibilmente dispiaciuto per quanto accaduto. Prendiamo molto seriamente la responsabilità di proteggere i tuoi dati e la tua privacy, e questa volta non siamo stati all’altezza”.
Gli interrogativi
Restano però molti punti poco chiari. Substack non ha spiegato nel dettaglio la natura tecnica della vulnerabilità, né l’esatta portata dei dati compromessi. Non è inoltre noto perché siano stati necessari circa cinque mesi per individuare la violazione, né se l’azienda ha ricevuto un contatto da eventuali hacker per richieste di riscatto.
Substack non ha comunicato quanti utenti siano stati colpiti dall’incidente. Pur affermando di non avere prove di un uso improprio dei dati, l’azienda non ha chiarito quali strumenti tecnici (come log o sistemi di monitoraggio) utilizzi per rilevare eventuali abusi. Gli utenti hanno comunque ricevuto il consiglio di prestare attenzione a e-mail e messaggi sospetti, senza però fornire indicazioni specifiche.
Secondo i dati che ha pubblicato sul proprio sito, Substack conta oltre 50 milioni di abbonamenti attivi, di cui 5 milioni a pagamento, un traguardo raggiunto nel marzo dello scorso anno.
Nel luglio 2025, la società ha inoltre raccolto 100 milioni di dollari in un giro di finanziamento Series C. Un giro guidato da BOND e The Chernin Group, con la partecipazione di a16z, dell’Amministratore delegato di Klutch Sports Group Rich Paul e del cofondatore di Skims Jens Grede.
Seguici anche sul nostro canale WhatsApp
