Newsletter platformu Substack, kullanıcılarına gönderdiği bir e-posta ile veri sızıntısını doğruladı. Şirket, Ekim ayında "yetkisiz bir üçüncü tarafın" e-posta adresleri, telefon numaraları ve diğer belirtilmemiş "dahili meta veriler" dahil olmak üzere kullanıcı verilerine eriştiğini belirtti. Substack, kredi kartı numaraları, şifreler ve diğer finansal bilgiler gibi daha hassas verilerin etkilenmediğini özellikle vurguladı.
Substack CEO'su Chris Best, kullanıcılara gönderdiği e-postada, şirketin Şubat ayında sistemlerine erişilmesine izin veren bir sorunu tespit ettiğini ve bu sorunu gidererek bir soruşturma başlattığını açıkladı. Best, "Substack hesabınızdaki e-posta adresi ve telefon numarasının izniniz olmadan paylaşıldığı bir güvenlik olayı hakkında size bilgi vermek için ulaşıyorum. Bunun yaşanmasından dolayı inanılmaz derecede üzgünüm. Verilerinizi ve gizliliğinizi koruma sorumluluğumuzu ciddiye alıyoruz ve bu konuda yetersiz kaldık" ifadelerini kullandı.
Sistemlerdeki sorunun tam olarak ne olduğu ve erişilen verilerin kapsamı henüz net değil. Şirketin sızıntıyı tespit etmesinin neden beş ay sürdüğü veya bilgisayar korsanları tarafından fidye talebiyle iletişime geçilip geçilmediği de bilinmiyor. Substack, kaç kullanıcının etkilendiğini açıklamadı ve kullanıcı verilerinin kötüye kullanıldığına dair herhangi bir kanıtları olmadığını belirtti. Ancak, kullanıcıları herhangi bir özel gösterge veya yönlendirme olmaksızın e-postalara ve mesajlara karşı dikkatli olmaya çağırdı.
Bu olay, şirketlerin siber güvenlik önlemlerinin ve ihlal tespit süreçlerinin ne kadar kritik olduğunu bir kez daha gösteriyor.