Substack, e-posta adresleri ve telefon numaralarını kapsayan veri ihlalini doğruladı
Olayın özeti
Substack kullanıcılarına gönderilen bir e-postada, platformun Ekim ayında yaşanan bir güvenlik ihlalini doğruladığı açıklandı. Şirket, yetkisiz bir üçüncü tarafın e-posta adresleri, telefon numaraları ve bazı iç sistemlere ait internal metadata olarak tanımlanan verileri eriştiğini belirtti.
Hangi veriler etkilenmedi?
Substack, daha hassas kabul edilen verilerin —örneğin kredi kartı numaraları, şifreler ve diğer finansal bilgiler— ihlâlden etkilenmediğini duyurdu.
Şirketin açıklaması ve soruşturma
Şirketin CEO’su Chris Best, kullanıcılara gönderdiği e-postada sorunun Şubat ayında tespit edildiğini, erişime izin veren yazılım açığının kapatıldığını ve soruşturmanın başlatıldığını bildirdi. Best ayrıca kullanıcı verilerinin izinsiz paylaşıldığı için özür diledi ve veri koruma sorumluluğunun ciddiyetle ele alındığını ancak bu kez başarısız olduklarını kabul etti.
Şirket ihlalin tam kapsamı ve sistemlerdeki spesifik zafiyet hakkında ayrıntı vermedi; neden beş ay sonra tespit edildiği veya bir fidye talebi gelip gelmediği gibi sorular yanıtlanmadı. Ayrıca, kaç kullanıcının etkilendiği açıklanmadı.
Yetkisiz kullanım ve kullanıcı uyarısı
Substack, şu ana kadar kullanıcı verilerinin kötüye kullanıldığına dair bir kanıt bulunmadığını belirtti ancak hangi teknik yöntemlerle (ör. log kayıtları) kötüye kullanımı tespit ettiklerine dair detay vermedi. Şirket, kullanıcıları şüpheli e-posta ve SMS iletilerine karşı dikkatli olmaları konusunda uyardı.
Ne yapmalısınız?
- Gelen e-posta ve kısa mesajlarda tanımadığınız bağlantılara veya ek dosyalara karşı tetikte olun.
- Hesabınızda oturum açma geçmişini ve güvenlik ayarlarını kontrol edin; mümkünse iki faktörlü kimlik doğrulamayı etkinleştirin.
- Hesaplarınızda olağandışı etkinlik görürseniz hemen ilgili servis sağlayıcıyla iletişime geçin.
Platform ölçeği
Şirket, platformunda milyonlarca aktif aboneliğin bulunduğunu; bunu, haber bülteni ve abonelik ekonomisindeki önemli bir oyuncu olarak konumlandırdığını belirtiyor.
Bu gelişme, kullanıcı verilerinin korunmasının önemini bir kez daha hatırlatıyor. Substack’tan daha fazla teknik detay veya etkilenen kullanıcı sayısına ilişkin bir açıklama gelene kadar, kullanıcıların şüpheli iletişimlere karşı dikkatli olmaları en güvenli yaklaşım olacaktır.
