Substack, een populair nieuwsbriefplatform, heeft een datalek bevestigd waarbij de e-mailadressen en telefoonnummers van gebruikers openbaar werden gemaakt. In een e-mail aan gebruikers maakte het bedrijf bekend dat een ongeautoriseerde derde partij in oktober toegang had gekregen tot deze gegevens, samen met andere interne metadata. Gevoelige informatie zoals creditcardnummers, wachtwoorden en financiële gegevens bleven onaangetast.
Substack Chief Executive Chris Best heeft gebruikers op de hoogte gebracht van het incident. Hij verklaarde dat het bedrijf het beveiligingsprobleem in februari had geïdentificeerd, waardoor ongeautoriseerde toegang tot zijn systemen mogelijk was. Best maakte bekend dat Substack het probleem inmiddels heeft opgelost en een onderzoek is gestart. In de e-mail schreef Best: “Ik neem contact op om u op de hoogte te stellen van een beveiligingsincident dat ertoe heeft geleid dat het e-mailadres en telefoonnummer van uw Substack-account zonder uw toestemming zijn gedeeld.” Hij voegde eraan toe: “Het spijt me ongelooflijk dat dit is gebeurd. We nemen onze verantwoordelijkheid om uw gegevens en uw privacy te beschermen serieus, en we zijn hier tekortgeschoten.”
Substack heeft de exacte aard van de systeemkwetsbaarheid of de volledige omvang van de inbreuk niet bekendgemaakt. Het bedrijf had vijf maanden nodig om het probleem op te sporen, maar gaf geen verklaring voor de vertraging. Er zijn geen aanwijzingen dat hackers losgeld eisten. TechCrunch vroeg Substack om aanvullende details, maar kreeg geen verder antwoord op het moment van rapportage.
Het platform heeft niet gespecificeerd om hoeveel gebruikers het gaat. Substack rapporteerde geen bewijs van gegevensmisbruik, maar gaf geen details over detectiemethoden, zoals systeemlogboeken. Het adviseerde gebruikers om voorzichtig te zijn met ongevraagde e-mails en sms-berichten zonder duidelijke indicatoren.
Substack bereikte afgelopen maart een mijlpaal met meer dan 50 miljoen actieve abonnementen, waaronder 5 miljoen betaalde abonnementen. In juli 2025 haalde het bedrijf $ 100 miljoen op aan Series C-financiering. De ronde werd geleid door BOND en The Chernin Group, met deelname van Andreessen Horowitz (a16z), Rich Paul, CEO van Klutch Sports Group, en mede-oprichter van Skims Jens Grede.
