Substack a mis plusieurs mois à se rendre compte qu’un pirate avait mis la main sur les données de certains de ses utilisateurs. Adresses e‑mail, numéros de téléphone et métadonnées ont été compromises.
Substack annonce avoir été victime d’une fuite de données. La plateforme en ligne, qui permet à des auteurs, journalistes et créateurs de publier des newsletters, articles, podcasts et vidéos, et de les monétiser, indique qu’un pirate est parvenu à accéder à des données internes en octobre 2025. Dans un mail adressé aux utilisateurs concernés, Substack explique que l’incident a été identifié il y a seulement quelques jours, le 3 février 2025.
Substack just emailed me saying my email and phone number have been leaked in a data breach pic.twitter.com/fbuntVVXVd
— Shannon Liao (@Shannon_Liao) February 5, 2026
Au cours de l’intrusion, le pirate a pu consulter « certaines données utilisateur, notamment les adresses électroniques, les numéros de téléphone et d’autres métadonnées internes ». Par contre, « les numéros de carte de crédit n’ont pas été exposés, et les mots de passe non plus », précise Substack.
À lire aussi : Coinbase, le géant des cryptos, est victime d’une nouvelle fuite de données
Une faille exploitée par les pirates
Apparemment, le cybercriminel a exploité une faille de sécurité dans le fonctionnement de la plateforme. Cette vulnérabilité a depuis été corrigée, prévient Substack dans son mail. La société américaine indique mener une enquête sur les circonstances de la violation. Les investigations doivent permettre d’améliorer « nos systèmes et processus afin d’éviter que ce type de problème ne se reproduise ».
Tous les utilisateurs affectés risquent de se retrouver dans le collimateur de cybercriminels. Les données compromises peuvent en effet servir à mettre au point des attaques phishing convaincantes et personnalisées. Selon Chris Best, PDG de Substack, il n’y a encore « aucune preuve que ces informations soient utilisées à mauvais escient » pour le moment. Néanmoins, « nous vous encourageons à redoubler de vigilance face à tout courriel ou SMS suspect », ajoute le responsable. Substack est resté muet sur les circonstances exactes de l’incident, et sur les conditions qui ont permis à ses équipes de repérer le vol des données. De même, on ignore combien de personnes sont touchées par la violation.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.