04.02.2026
1 хв
399
Платформа для розсилок Substack підтвердила витік персональних даних користувачів, який залишався непоміченим із жовтня 2025 року. Інцидент стосується електронних адрес, номерів телефонів і внутрішніх метаданих, а затримка з виявленням зламу вже викликала серйозні питання щодо рівня безпеки сервісу.
За офіційною інформацією компанії, зловмисники отримали несанкціонований доступ до систем Substack ще восени, однак ознаки вторгнення були виявлені лише на початку лютого 2026 року. Про це користувачів повідомили електронним листом від генерального директора компанії Chris Best, який визнав, що компанія не змогла вчасно виявити атаку.
У повідомленні наголошується, що паролі, платіжна інформація та дані банківських карток не були скомпрометовані. Водночас контактні дані та службові метадані потенційно можуть бути використані для фішингових кампаній або соціальної інженерії. Substack заявила, що вразливість усунено, а внутрішнє розслідування триває, однак точну кількість постраждалих користувачів компанія не розкриває.
Платформи для розсилок є привабливою ціллю для атак, оскільки зберігають великі масиви перевірених контактів і мають високий рівень довіри між авторами та аудиторією. Експерти з кібербезпеки звертають увагу, що затримка між зламом і його виявленням значно підвищує ризики, адже користувачі тривалий час не знають про потенційну загрозу.
Аналітики з приватності також наголошують, що навіть обмежений витік даних може мати серйозні наслідки — від таргетованих шахрайських повідомлень до спроб захоплення облікових записів через довіру до бренду.
Інцидент із Substack знову піднімає питання прозорості та відповідальності цифрових платформ, які працюють із персональними даними мільйонів людей. Відсутність чіткої інформації щодо масштабів витоку та подальших кроків компанії залишає користувачів у стані невизначеності й підкреслює важливість раннього виявлення інцидентів безпеки.
