通讯平台 Substack 近日通过向用户发送电子邮件，确认公司发生数据泄露事件，部分用户信息被未经授权访问。

据 Substack 在邮件中披露，一名“未经授权的第三方”于 2025 年 10 月访问了其系统，涉及的数据包括用户的电子邮件地址、电话号码以及未具体说明的“内部元数据”。

公司同时表示，更为敏感的数据未受到影响。Substack 明确称，信用卡号码、密码及其他财务信息未在此次事件中遭到访问。

Substack 首席执行官 Chris Best 在发给用户的通知邮件中表示，公司是在今年 2 月发现存在“允许某人访问其系统的问题”，随后对相关漏洞进行了修复并启动调查。

Best 在邮件中写道，他联系用户是为了告知这一安全事件，该事件导致用户 Substack 账户中的电子邮件地址和电话号码在未经许可的情况下被共享。他在邮件中就此表示歉意，并称公司“非常重视保护您的数据和隐私的责任，但这次我们未能做到位”。

目前，Substack 尚未说明系统具体出现了何种问题，也未披露被访问数据的具体范围。公司没有解释为何从 2025 年 10 月事件发生到 2026 年 2 月发现问题之间存在约五个月时间差，也未说明是否曾收到与此次事件相关的勒索或其他联系。

Substack 亦未公布受影响用户的数量。公司称，目前没有证据显示用户数据被滥用，但并未说明其通过何种技术手段（例如日志分析）来判断是否存在滥用迹象。尽管如此，Substack 仍提醒用户对收到的电子邮件和短信保持警惕，但未给出更为具体的操作建议或指示。

根据 Substack 官网信息，该平台拥有超过 5000 万活跃订阅用户，其中包括 500 万付费订阅用户，这一里程碑于去年 3 月实现。2025 年 7 月，Substack 完成 1 亿美元 C 轮融资，由 BOND 和 The Chernin Group（TCG）领投，a16z、Klutch Sports Group 首席执行官 Rich Paul 以及 Skims 联合创始人 Jens Grede 参与投资。