Substack, une plateforme de newsletter populaire, a confirmé une violation de données qui a exposé les adresses e-mail et les numéros de téléphone des utilisateurs. Dans un e-mail adressé aux utilisateurs, la société a révélé qu’un tiers non autorisé avait accédé à ces données, ainsi qu’à d’autres métadonnées internes, en octobre. Les informations sensibles telles que les numéros de carte de crédit, les mots de passe et les détails financiers ne sont pas affectées.
Le directeur général de Substack, Chris Best, a informé les utilisateurs de l’incident. Il a déclaré que l’entreprise avait identifié le problème de sécurité en février, qui permettait un accès non autorisé à ses systèmes. Best a annoncé que Substack avait depuis résolu le problème et lancé une enquête. Dans l’e-mail, Best a écrit : « Je vous contacte pour vous informer d’un incident de sécurité qui a entraîné le partage de l’adresse e-mail et du numéro de téléphone de votre compte Substack sans votre autorisation. Il a ajouté : “Je suis incroyablement désolé que cela se soit produit. Nous prenons au sérieux notre responsabilité de protéger vos données et votre vie privée, et nous n’avons pas réussi ici.”
Substack n’a pas divulgué la nature exacte de la vulnérabilité du système ni l’étendue complète de la violation. L’entreprise a mis cinq mois à détecter le problème, sans toutefois fournir d’explication pour ce retard. Rien n’indique que les pirates ont exigé une rançon. TechCrunch a demandé des détails supplémentaires à Substack mais n’a reçu aucune autre réponse au moment de la rédaction du rapport.
La plateforme n’a pas précisé combien d’utilisateurs étaient concernés. Substack n’a signalé aucune preuve d’utilisation abusive des données, mais n’a fourni aucun détail sur les méthodes de détection, telles que les journaux système. Il conseille aux utilisateurs de faire preuve de prudence avec les e-mails et SMS non sollicités dépourvus d’indicateurs clairs.
Substack a franchi un cap en mars dernier avec plus de 50 millions d’abonnements actifs, dont 5 millions d’abonnements payants. En juillet 2025, la société a levé 100 millions de dollars en financement de série C. Le cycle a été dirigé par BOND et The Chernin Group, avec la participation d’Andreessen Horowitz (a16z), du PDG de Klutch Sports Group, Rich Paul, et du co-fondateur de Skims, Jens Grede.
