Lorsque vous souscrivez à un abonnement sur Substack, vous pensez recevoir des newsletters et des publications de créateurs en ligne, sans perdre les données que vous partagez avec la plateforme. Mais comme tout service numérique, les données que vous fournissez lors de votre inscription sont à la merci de Substack ou de toute personne ayant accès à ces données. Malheureusement, c’est désormais le cas.
La sous-pile a peut-être perdu près de 700 000 enregistrements d’utilisateurs
Tel que rapporté par BleepingComputer, Substack a récemment révélé une importante violation de données. Le PDG de la société, Chris Best, a envoyé aux utilisateurs un avis de violation cette semaine, indiquant que les adresses e-mail, les numéros de téléphone et « d’autres métadonnées internes » avaient été partagés à partir des comptes Substack sans leur autorisation. La société aurait découvert la violation le 3 février, même si les pirates informatiques ont eux-mêmes accédé aux données en octobre 2025. Cela signifie que les données étaient entre des mains non autorisées pendant environ quatre mois avant que Substack n’identifie la violation.
Best a expliqué que Substack a depuis résolu le problème du système qui permettait à un tiers non autorisé d’accéder à ces données. La société lance une enquête et prendrait des mesures pour empêcher que ce type de violation ne se produise à l’avenir. Le bon côté des choses, Best affirme que les numéros de carte de crédit, les mots de passe et les informations financières n’ont pas été accessibles lors de la violation.
Ce que Best ne partage pas, c’est l’étendue de la violation. Pour cela, il faut se tourner vers BleepingComputer, qui a trouvé un post d’un « acteur menaçant » sur le forum de hacking BreachForums. L’acteur a publié une base de données de 697 313 enregistrements Substack, partageant que la base d’utilisateurs de Substack est beaucoup plus grande, mais que la méthode de scraping était « bruyante et corrigée rapidement ». Cet acteur affirme que les données compromises incluent les adresses e-mail, les numéros de téléphone, les noms, les identifiants d’utilisateur, les identifiants Stripe, les photos de profil et les biographies, un peu plus détaillés que le rapport du PDG de Substack.
700 000 enregistrements, ce n’est pas la même chose que 700 000 utilisateurs: Chaque enregistrement ressemble à une adresse e-mail ou à un numéro de téléphone, ce qui signifie qu’un utilisateur de Substack pourrait avoir perdu plusieurs enregistrements lors de la violation. Pourtant, il s’agit d’un grand nombre de points de données, et ce n’est qu’une maigre consolation pour les utilisateurs qui ont perdu des informations ici.
Ce que Substack peut faire après cette violation
Malheureusement, les utilisateurs ne peuvent pas faire grand-chose pour atténuer une violation de données une fois qu’elle se produit. Les données volées à Substack sont déjà perdues et vous ne pourrez pas les annuler. Cependant, vous pouvez prendre certaines mesures pour vous protéger en cas de violation et pour éviter cette perte de données à l’avenir.
Tout d’abord, surveillez de près vos SMS et e-mails entrants. Les pirates profiteront des données ici pour cibler les utilisateurs de Substack dans le cadre de programmes de phishing. Si vous recevez des messages d’inconnus, ou même des messages suspects prétendant provenir de Substack, soyez prudent. Comme d’habitude, ne cliquez jamais sur les liens contenus dans les messages provenant d’expéditeurs que vous ne connaissez pas et, plus important encore, ne téléchargez jamais de fichiers ou d’applications si vous y êtes invité.
Vous pouvez également envisager de masquer votre adresse e-mail à l’avenir. Utilisez un service comme « Masquer mon e-mail » d’Apple ou la protection de messagerie de DuckDuckGo pour générer une adresse « graveur » chaque fois que vous devez partager votre e-mail avec un service. Le service enverra des messages à l’adresse du graveur, qui seront transmis à votre véritable adresse. De cette façon, le service ne connaît pas votre véritable adresse et, en cas de piratage, ne la compromettra pas. Les pirates n’obtiendront que le graveur, que vous pourrez arrêter à tout moment.
