Detalhes sobre a falha de segurança
A plataforma Substack confirmou que um vazamento de dados expôs informações de quase 700 mil usuários. A invasão aconteceu em outubro de 2025, mas a empresa só identificou o problema em fevereiro de 2026, quando o banco de dados apareceu no BreachForums.
O incidente passou despercebido pelos sistemas internos durante meses. O Substack acionou especialistas externos e iniciou uma investigação logo após descobrir que as informações circulavam nesse fórum utilizado para venda de dados roubados.
Os invasores conseguiram acesso a dados cadastrais, mas a empresa garantiu que senhas e informações financeiras ficaram protegidas. O sistema invadido não armazenava dados de pagamento, o que reduz o risco de fraudes bancárias diretas.
De acordo com o comunicado oficial, os seguintes dados foram expostos:
- Endereços de e-mail;
- Números de telefone;
- Metadados das contas (informações técnicas sobre o uso do perfil).
Riscos e medidas de proteção
Especialistas em segurança alertam que essas informações servem para golpes de phishing direcionado. Criminosos podem cruzar os e-mails e telefones vazados com outras bases de dados para criar perfis detalhados e enviar mensagens falsas que parecem legítimas.
A demora na detecção do ataque aumenta a necessidade de atenção por parte dos usuários. O Substack afirmou que já corrigiu a vulnerabilidade e reforçou os controles de segurança para evitar novos acessos indevidos.
Para se proteger de possíveis fraudes decorrentes desse vazamento, recomenda-se:
- Ativar a autenticação em dois fatores (2FA) na conta;
- Não clicar em links de e-mails que cobram ações urgentes;
- Verificar o remetente das mensagens antes de responder;
- Usar senhas únicas e gerenciadores de senhas.
