Se costumas utilizar a aplicação Substack é possível que alguns dos teus dados pessoais possam ter caído nas mãos de terceiros. Esta aplicação foi vítima de um ataque informático que expôs os dados dos seus utilizadores.
Esta violação de segurança foi divulgada pelo próprio CEO do Substack, Steve Herman. O executivo revela que o ataque terá acontecido em outubro de 2025, mas só foi detetado pela empresa no início desta semana.
Quais os dados comprometidos neste ciberataque?
A empresa afirma que o ataque de que foi vítima não colocou em causa nenhuma informação financeira ou password dos seus utilizadores. No entanto, confirma que emails e contactos fazem parte dos dados adquiridos pelos autores deste ataque.
Segundo o que reporta a publicação Bleeping Computer, no início desta semana foi partilhada uma base de dados com 697 313 registos no Breach Forums. O autor desta partilha afirmou que esses dados foram obtidos através de um método que a Substack corrigiu rapidamente.
Isto diz-nos que a vulnerabilidade que permitiu a exposição destas informações já foi corrigida. Contudo, os dados comprometidos pelo ataque em causa circulam em plataformas especializadas e podem ser acedidos por terceiros.
O que aconteceu no ataque ao Substack?
Como em muitos casos do género, o CEO do Substack não quis entrar em detalhes sobre a vulnerabilidade explorada pelos hackers. Ele afirma apenas que houve um acesso não autorizado a informações sensíveis dos utilizadores como emails, números de telefone e outros metadados internos.
Ele reitera que a empresa já corrigiu a vulnerabilidade especifica que possibilitou esta falha de segurança. Afirma ainda que será feita uma investigação interna completa para prevenir que isto volte a acontecer.
O que fazer no caso de teres sido um dos afetados
Caso os teus dados façam parte das vítimas deste ataque, há cuidados que deves ter. Tal como refere Steve Herman, deves estar alerta para mensagens ou emails suspeitos que possas receber.
Estas bases de dados são frequentemente usadas por praticantes de phishing num tentativa de amealhar outro tipo de informações mais sensíveis. Por isso, sempre que te solicitem informações sensíveis por email ou SMS, nunca as partilhes sem confirmar com a entidade legítima.
Promoção do dia
