Bereits im Oktober 2025 hat die Newsletter-Plattform Substack einen Sicherheitsvorfall erlitten, bei dem ein unbefugter Dritter Zugriff auf Nutzerdaten erlangte. Wie das Unternehmen laut Techcrunch nun in einer Rundmail an seine Nutzer bestätigte, wurden dabei unter anderem E-Mail-Adressen und Telefonnummern kompromittiert. Andere sensiblere Daten wie Passwörter oder Kreditkarteninformationen seien hingegen nicht betroffen gewesen.
Lücke im System wurde erst Monate später entdeckt
Substack-CEO Chris Best teilte mit, dass die Schwachstelle im System erst im Februar 2026 erkannt wurde. In der Folge sei der Zugang für Unbefugte geschlossen und eine interne Untersuchung eingeleitet worden. Die genaue technische Ursache des Vorfalls bleibt allerdings unklar. Auch zur Frage, weshalb die Sicherheitslücke über mehrere Monate unentdeckt blieb, äußerte sich das Unternehmen bislang nicht konkret.
Zudem ist unklar, wie viele Nutzer tatsächlich betroffen sind. Laut Substack gebe es derzeit keine Hinweise auf einen Missbrauch der erlangten Daten, jedoch wurde nicht erläutert, welche Mittel zur Überwachung möglicher Aktivitäten eingesetzt werden. Nutzer wurden lediglich allgemein zur Vorsicht bei E-Mails und SMS-Nachrichten aufgerufen – ohne konkrete Handlungsempfehlungen.
Gewinnen in der Plattform-Ökonomie
Substack unter Druck
Datenschutzexperten sehen die lange Verzögerung bei der Entdeckung des Vorfalls kritisch. Auch der Umstand, dass die Kommunikation zum Vorfall erst im Februar 2026 erfolgte, könnte für das Unternehmen weiteren Reputationsschaden bedeuten. Ob ein Erpressungsversuch stattfand oder Kontakt mit den Angreifern bestand, ließ Substack offen. Auf eine entsprechende Anfrage von TechCrunch hat das Unternehmen bislang nicht reagiert.
Die Transparenz in der Aufarbeitung des Vorfalls lässt Fragen offen. Wie ernst Substack künftig den Schutz seiner Nutzerdaten nimmt, dürfte sich nicht nur an technischen Maßnahmen, sondern auch an der Reaktion auf diesen Vorfall zeigen.
