Platform Newsletter Substack Beri Tahu Pengguna soal Kebocoran Data

Platform newsletter populer Substack mulai mengirimkan pemberitahuan kepada para penggunanya terkait insiden kebocoran data yang mengakibatkan pencurian alamat email dan nomor telepon. Insiden tersebut diketahui terjadi pada Oktober 2025, namun baru terdeteksi oleh perusahaan pada awal Februari tahun ini.

CEO Substack, Chris Best, menjelaskan kepada pengguna terdampak bahwa pihaknya menemukan indikasi adanya akses tidak sah ke sistem internal pada 3 Februari. Akses tersebut memungkinkan pihak ketiga memperoleh data pengguna dalam skala terbatas, termasuk alamat email, nomor telepon, serta metadata internal lainnya. Meski demikian, Best menegaskan bahwa kredensial login, kata sandi, informasi kartu kredit, maupun data keuangan tidak ikut terekspos dalam kejadian ini.

Menurut penjelasan perusahaan, data yang diakses memang berasal dari periode Oktober 2025. Keterlambatan deteksi membuat pemberitahuan kepada pengguna baru dapat dilakukan beberapa bulan setelah kejadian berlangsung. Hingga kini, Substack belum mengungkapkan secara resmi jumlah total pengguna yang terdampak.

Namun, pada awal pekan ini, seorang pelaku ancaman membocorkan sebuah basis data di forum peretasan BreachForums yang diklaim berisi 697.313 data hasil pencurian. Pelaku tersebut juga menyebut bahwa data diperoleh melalui metode scraping yang bersifat agresif, tetapi celah yang dimanfaatkan telah ditutup dengan cepat oleh pihak Substack.

Substack tidak merinci bagaimana penyerang awalnya bisa mendapatkan akses ke data tersebut, maupun dampak penuh dari kebocoran ini. Meski begitu, perusahaan menyatakan bahwa celah keamanan yang dimanfaatkan telah diperbaiki. Pengguna juga diimbau untuk meningkatkan kewaspadaan terhadap potensi email atau pesan teks mencurigakan yang mungkin memanfaatkan data hasil kebocoran untuk aksi phishing.

Dalam pernyataannya, Chris Best menekankan bahwa hingga saat ini tidak ditemukan bukti penyalahgunaan data pengguna. Namun, langkah pencegahan tetap disarankan mengingat informasi kontak yang bocor dapat dimanfaatkan untuk rekayasa sosial.

Pihak Substack juga menyebut telah menerapkan perlindungan tambahan guna mencegah insiden serupa terulang di masa depan. Meski demikian, perwakilan perusahaan tidak memberikan detail teknis lebih lanjut ketika dimintai klarifikasi tambahan.

Insiden ini bukan kali pertama Substack menghadapi isu privasi. Pada Juli 2020, perusahaan sempat secara tidak sengaja mengekspos alamat email sejumlah pengguna saat mengirimkan pembaruan kebijakan privasi, akibat kesalahan penggunaan kolom penerima email.

Sejak diluncurkan pada 2017, Substack terus berkembang sebagai platform favorit jurnalis independen dan kreator konten. Hingga Maret 2025, layanan ini tercatat telah memiliki sekitar lima juta pelanggan berbayar di seluruh dunia.