新闻通讯平台Substack于2025年10月通知用户,其电子邮件地址和电话号码遭到攻击者窃取,导致数据泄露。
尽管事件发生在四个月前,但首席执行官克里斯·贝斯特告诉受影响的用户,Substack直到本周才发现数据泄露。不过,贝斯特补充说,虽然攻击者窃取了一些用户数据,但他们并未获取用户的凭证或财务信息。
贝斯特在发送的数据泄露通知邮件中表示:“2月3日,我们发现系统存在问题,导致未经授权的第三方未经许可访问有限的用户数据,包括电子邮件地址、电话号码和其他内部元数据。”
“这些数据是在2025年10月被访问的。重要的是,信用卡号、密码和财务信息并未被访问。”
尽管Substack尚未透露有多少用户受到此次事件的影响,但周一,一名威胁行为者在黑客论坛BreachForums上泄露了一个数据库,其中包含697,313条据称被盗的数据记录。
他们还声称已经抓取了数据,并指出“所使用的抓取方法存在噪声,并且很快就被修补了”。
虽然Substack没有解释攻击者是如何获得被盗数据的,也没有透露数据泄露的全部影响,但它表示已经解决了攻击中利用的漏洞,并警告称,可能会有利用被盗信息的网络钓鱼攻击。
“我们已经修复了导致这种情况发生的系统问题,”贝斯特补充道。“我们没有证据表明这些信息被滥用,但我们建议您对收到的任何可疑电子邮件或短信都格外谨慎。”
Substack的一位发言人表示“已经采取了保障措施,以帮助防止此类问题再次发生”。
大约六年前,2020 年 7 月,Substack在一封隐私政策更新邮件中,不小心将一些用户的电子邮件地址泄露了出来,因为他们将这些地址放在了“收件人”行而不是“密送”字段中。
自 2017 年推出以来,Substack在独立记者和内容创作者中广受欢迎,预计到2025年3月将达到500万付费订阅用户。