A distanza di quattro mesi, Substack ha confermato il data breach subito a ottobre attraverso un’e-mail ai suoi utenti precisando che non sono stati coinvolti dati finanziari o altamente sensibili, come password, numeri di carte di credito e informazioni bancarie. L’esposizione riguarda quindi soprattutto indirizzi email e numeri di telefono associati agli account che possono comunque facilitare truffe e phishing.

Nel messaggio, l’azienda ammette di aver scoperto il problema solamente nel mese di febbraio, che la vulnerabilità è stata corretta e di aver  avviato un’indagine interna. Il caso solleva dubbi soprattutto sulla trasparenza e sulla tempestività della gestione dell’incidente: Substack non ha spiegato la natura tecnica della falla nè perché ci siano voluti mesi per rilevare la violazione (evidentementei  sistemi di monitoraggio usati per individuare gli abusi non sono efficaci). Inoltre, non è chiaro quanti utenti siano stati colpiti nè se sono pervenute eventuali richieste di riscatto da parte degli hacker, agli utenti è stato consigliato solo di prestare attenzione a messaggi sospetti.

‍