Ao se inscrever no Substack, você pensa que receberá newsletters e postagens de criadores online, e não perderá os dados que compartilha com a plataforma. Mas, como qualquer serviço digital, os dados que você fornece ao se inscrever ficam à mercê da Substack ou de qualquer pessoa que tenha acesso a esses dados. Infelizmente, esse é o caso agora.
Substack pode ter perdido quase 700.000 registros de usuários
Conforme relatado pelo BleepingComputer, a Substack divulgou recentemente uma violação significativa de dados. O CEO da empresa, Chris Best, enviou aos usuários um aviso sobre a violação esta semana, compartilhando que endereços de e-mail, números de telefone e “outros metadados internos” foram compartilhados de contas Substack sem sua permissão. A empresa supostamente descobriu a violação em 3 de fevereiro, embora os hackers tenham acessado os próprios dados em outubro de 2025. Isso significa que os dados estiveram em mãos não autorizadas por cerca de quatro meses antes que Substack identificasse a violação.
Best explicou que desde então a Substack corrigiu o problema do sistema que permitia que terceiros não autorizados acessassem esses dados. A empresa está iniciando uma investigação e supostamente tomando medidas para evitar que esse tipo de violação aconteça no futuro. Pelo lado positivo, Best afirma que números de cartão de crédito, senhas e informações financeiras não foram acessados na violação.
O que Best não compartilha é o escopo da violação. Para isso, temos que recorrer ao BleepingComputer, que encontrou uma postagem de um “ator de ameaça” no fórum de hackers BreachForums. O ator postou um banco de dados de 697.313 registros do Substack, compartilhando que a base de usuários do Substack é muito maior, mas o método de raspagem era “barulhento e corrigido rapidamente”. Este ator diz que os dados comprometidos incluem endereços de e-mail, números de telefone, nomes, IDs de usuário, Stripe IDs, fotos de perfil e biografias – um pouco mais detalhados do que o relatório do CEO da Substack.
700.000 registros não são iguais a 700.000 usuários: cada registro é algo como um endereço de e-mail ou número de telefone, o que significa que um usuário do Substack pode ter perdido vários registros na violação. Ainda assim, é um grande número de pontos de dados e pouco consolo para os usuários que perderam informações aqui.
O que você acha até agora?
O que Substack pode fazer após esta violação
Infelizmente, não há muito que os usuários possam fazer para mitigar uma violação de dados depois que ela ocorrer. Os dados roubados do Substack já foram perdidos e você não poderá desfazer isso. No entanto, existem algumas etapas que você pode seguir para se proteger após a violação e evitar essa perda de dados no futuro.
Primeiro, monitore de perto os textos e e-mails recebidos. Os hackers aproveitarão os dados aqui para atingir os usuários do Substack em esquemas de phishing. Se você receber mensagens de estranhos, ou mesmo mensagens suspeitas que afirmam vir do Substack, tenha cuidado. Como de costume, nunca clique em links de mensagens de remetentes que você não conhece e, mais importante ainda, nunca baixe arquivos ou aplicativos se for instruído.
Você também pode considerar mascarar seu endereço de e-mail daqui para frente. Use um serviço como o “Hide My Email” da Apple ou a proteção de e-mail do DuckDuckGo para gerar um endereço “gravador” sempre que precisar compartilhar seu e-mail com um serviço. O serviço enviará mensagens para o endereço do gravador, que será encaminhado para o seu endereço real. Dessa forma, o serviço não sabe o seu endereço real e, se for hackeado, não o comprometerá. Os hackers obterão apenas o gravador, que você pode desligar a qualquer momento.
