A plataforma de newsletters Substack começou a avisar usuários sobre uma intrusão em seus sistemas que, segundo a empresa, permitiu a terceiros acessar dados limitados em outubro de 2025. Embora os factos tenham ocorrido há meses, o endereço da empresa indica que a investigação e detecção do incidente ocorreu muito mais tarde, o que gerou inquietação entre criadores e assinantes.
Segundo o comunicado público do conselheiro delegado Chris Best, que compartilhou detalhes no seu perfil da BlueSky, a informação comprometida inclui endereços de e-mail, números de telefone e alguns metadados internos. Best enfatizou que, por agora, não há evidência de que se tenham visto expostos números de cartão, senhas ou informações financeiras. Você pode ler sua mensagem original na plataforma onde o publicou: publicação de Chris Best em BlueSky.
Enquanto Substack ainda não publicou um número oficial de contas afetadas, em fóruns da cena criminosa cibernética apareceu esta semana um volcado que, segundo seu autor, contém 697.313 registros supostamente extraídos da plataforma. O suposto atacante também afirma ter empregado uma técnica de raspagem que resultou "ruidosa" e que, após se detectar, foi bloqueada rapidamente. Neste tipo de casos, é habitual que os números e a veracidade dos dados sejam objecto de verificação independente; por esse motivo, a empresa mantém aberta a investigação.
O atraso entre a data do acesso (outubre) e a data de detecção gera duas questões centrais: Por um lado, que vulnerabilidade permitiu a extração de dados e se já foi corrigida; por outro, que controles internos falharam na monitorização e na resposta precoce. Substack informou que a falha que permitiu o acesso já foi corrigida, e alertau os usuários sobre o possível aumento de tentativas de suplantação (phishing) dirigidos com endereços e números obtidos.
Que não tenham sido roubadas senhas ou informações financeiras não eliminam o risco. Com e-mails e telefones é possível orquestrar campanhas de engano mais convincentes: mensagens que aparentem vir de Substack, solicitações de verificação, ofertas falsas ou links que instalem malware. Por isso, a empresa recomendou extremar a precaução em relação a mensagens suspeitas e verificar sempre remetentes e URLs antes de interagir.
Se você é suscriptor ou criador em Substack, o prudente agora é extremar a vigilância sobre comunicações entrantes e seguir boas práticas de segurança. Embora o próprio Substack diga não ter indícios de uso indevido dos dados, convém suspeitar de mensagens urgentes que peçam cliques, senhas ou códigos, e confirmar qualquer pedido por canais oficiais. Para orientação prática sobre como reconhecer e responder a tentativas de phishing, as autoridades de cibersegurança oferecem guias úteis: por exemplo, a Agência de Segurança Cibernética dos Estados Unidos (CISA) dispõe de recursos sobre phishing em https://www.cisa.gov/phishing, e a Comissão Federal do Comércio (FTC) publica conselhos sobre o que fazer após uma filtragem de dados em https://www.consumer.ftc.gov/articles/data-breaches.
Este episódio também reaviva uma discussão mais ampla: a responsabilidade das plataformas que alojam conteúdos e manejam grandes listas de assinantes. Substack, lançado em 2017 e que se tornou um refúgio para jornalistas e criadores independentes, teve incidentes prévios relacionados com a gestão de e-mails; em 2020, houve um erro administrativo que expôs endereços de usuários em uma comunicação massiva, uma falha que a própria empresa reconheceu publicamente em seu momento através de uma publicação em redes sociais ( tuíte de Substack sobre a exposição de 2020). Situações repetidas, mesmo quando os dados comprometidos são relativamente limitados, erosionam a confiança e obrigam a rever medidas técnicas e organizacionais.
Do ponto de vista de um criador de conteúdo na plataforma, a filtração levanta riscos reputacionais e operacionais: qualquer ataque de phishing dirigido a uma lista de assinantes pode ser erroneamente associado ao remetente legítimo, prejudicando a relação com a audiência. Para o atenuar, os autores podem reforçar mensagens de informação à sua comunidade, explicar o que está acontecendo e oferecer maneiras seguras de verificar comunicações (por exemplo, confirmando URLs oficiais e lembrando que a plataforma nunca pede senhas por correio).
No plano técnico, o ensino habitual após este tipo de incidentes é duplo: melhorar a observabilidade dos sistemas para detectar comportamento anormal o mais rapidamente possível e aplicar controlos que minimizem a quantidade de dados acessíveis em caso de falha. A segregação de dados, o registro detalhado de acessos e alertas baseados em padrões incomuns são práticas que ajudam a encurtar o tempo entre uma intrusão e sua detecção.
Substack ainda deve fornecer mais detalhes sobre como ocorreu exatamente a filtração, quantos usuários foram afetados e quais medidas adicionais tomarão para prevenir novos incidentes. Entretanto, os usuários devem manter-se alerta, verificar a autenticidade de comunicações ligadas à plataforma e recorrer a fontes oficiais para confirmar qualquer pedido estranho. Para informações jornalísticas e atualizações técnicas sobre o fato, meios especializados em segurança informática costumam cobrir esse tipo de vazamento; o portal BleepingComputer e outros meios tecnológicos serão pontos de referência à medida que a investigação avançar.
A tecnologia que facilita a independência de criadores também implica uma grande responsabilidade na gestão de dados pessoais. Este caso lembra que, além de ter boas funções para publicar e monetizar conteúdo, as plataformas devem investir constantemente em segurança e transparência. E para os usuários, a máxima ainda é a mesma: educar-se em cibersegurança e adotar hábitos que reduzam a superfície de ataque, porque os dados que hoje podem parecer "apenas" endereços e telefones são a matéria-prima com a qual se fabricam muitas fraudes digitais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...