Substack でサブスクリプションにサインアップすると、プラットフォームと共有したデータを失うことなく、オンライン クリエイターからのニュースレターや投稿を受け取ることができると考えます。しかし、他のデジタル サービスと同様に、サインアップ時に提供したデータは、Substack またはそのデータに偶然アクセスした誰かの意のままにされます。残念ながら、今はそうなってしまいました。
サブスタックは約 700,000 のユーザー レコードを失った可能性がある
BleepingComputer が報じたように、Substack は最近重大なデータ侵害を明らかにしました。同社の最高経営責任者(CEO)クリス・ベスト氏は今週ユーザーに侵害の通知を送り、電子メールアドレス、電話番号、「その他の内部メタデータ」がユーザーの許可なくSubstackアカウントから共有されたと共有した。ハッカーがデータ自体にアクセスしたのは2025年10月だったにもかかわらず、同社は2月3日に侵害を発見したと伝えられている。つまり、Substackが侵害を特定するまでの約4か月間、データは不正な手に渡っていたことになる。
ベスト氏は、Substackがその後、権限のない第三者によるこのデータへのアクセスを許可していたシステムの問題を修正したと説明した。同社は調査を開始しており、今後この種の侵害が起こらないようにするための措置を講じていると伝えられている。明るい面としては、ベスト氏は、この侵害ではクレジット カード番号、パスワード、財務情報にはアクセスされなかったと主張しています。
ベスト社が共有していないのは、侵害の範囲についてだ。そのためには、ハッキング フォーラム BreachForums で「脅威アクター」からの投稿を見つけた BleepingComputer に頼る必要があります。攻撃者は 697,313 件の Substack レコードのデータベースを投稿し、Substack ユーザー ベースははるかに大きいものの、スクレイピング方法は「ノイズが多く、パッチ適用が速い」と共有しました。この攻撃者によると、侵害されたデータには電子メール アドレス、電話番号、名前、ユーザー ID、Stripe ID、プロフィール写真、経歴が含まれており、これは Substack の CEO の報告書よりももう少し詳細です。
700,000 レコードは 700,000 と同じではありません ユーザー: 各レコードは電子メール アドレスや電話番号のようなものです。つまり、1 人の Substack ユーザーが侵害によって複数のレコードを失った可能性があります。それでも、これは膨大な数のデータポイントであり、ここで情報を失ったユーザーにとってはほとんど慰めにはなりません。
これまでのところどう思いますか?
この侵害後にサブスタックができること
残念ながら、一度データ侵害が発生すると、それを軽減するためにユーザーができることはあまりありません。 Substack から盗まれたデータはすでに失われており、元に戻すことはできません。ただし、侵害後に身を守り、今後のデータ損失を防ぐために実行できる手順がいくつかあります。
まず、受信したテキストや電子メールを注意深く監視します。ハッカーはここのデータを利用して、Substack ユーザーをフィッシング詐欺のターゲットにします。見知らぬ人からメッセージを受信した場合、または Substack から送信されたと主張する不審なメッセージを受信した場合は、注意してください。いつものように、知らない送信者からのメッセージ内のリンクは決してクリックしないでください。さらに重要なのは、指示された場合でもファイルやアプリケーションをダウンロードしないことです。
今後はメール アドレスをマスクすることも検討してください。 Apple の「Hide My Email」や DuckDuckGo の電子メール保護などのサービスを使用して、電子メールをサービスと共有する必要があるたびに「バーナー」アドレスを生成します。このサービスはメッセージを書き込みアドレスに送信し、実際のアドレスに転送されます。そうすれば、サービスはユーザーの実際の住所を知ることがなくなり、ハッキングされても情報が侵害されることはありません。ハッカーが手に入れるのはバーナーだけであり、いつでもシャットダウンできます。