La sous-pile vient de révéler accidentellement les adresses e-mail de tonnes d’utilisateurs

Oh mon dieu: Quelqu’un de Substack a accidentellement envoyé une explosion de courrier électronique exposant les adresses électroniques de nombreux utilisateurs.

Substack est un service de newsletter par abonnement qui a récemment remporté beaucoup de publicité positive pour avoir fourni un foyer aux journalistes et à d’autres construire des audiences indépendantes à une époque définie par les licenciements massifs dans les médias. On pourrait donc affirmer avec précision que la gestion correcte du courrier électronique est toute leur affaire. Malheureusement, le compte support@substack.com a envoyé mardi soir les conditions d’utilisation, l’accord de l’éditeur et la politique de confidentialité mis à jour en utilisant le champ CC (celui qui montre les adresses e-mail de tout le monde sur un fil) au lieu du champ BCC (le celui qui, vous savez … ne fait pas ça).

On ne sait pas si les utilisateurs qui ont reçu des CC au lieu de BCC appartiennent à un groupe particulier ou combien il y en avait, mais l’une des chaînes de messagerie transmises à Gizmodo contenait 500 adresses e-mail commençant par la lettre H jusqu’à mi-parcours des K. Un autre contenait un déluge similaire d’e-mails, y compris ceux qui semblaient appartenir au PDG d’Amazon et l’homme le plus riche du monde Jeff Bezos, l’entrepreneur célèbre Mark Cuban, le capital-risque Peter Thiel, le cofondateur de Sun Microsystems Vinod Khosla, le militant des droits civiques Deray Mckesson, le PDG de Snapchat Evan Spiegel , Jeff Lawson, PDG de Twilio, et Jessica Scorpio, fondatrice de Getaround.

Toutes ces adresses e-mail semblent être des comptes professionnels. Beaucoup d’entre eux, mais pas tous, semblent également être déjà de notoriété publique. Il est également tout à fait possible que certains des destinataires aient été inscrits à Substack par quelqu’un d’autre, et le service permet les inscriptions sans e-mail vérifiercation. (L’e-mail que Bezos a peut-être utilisé pour s’inscrire à Substack n’a généré que deux résultats sur Google à partir d’un service de génération de prospects, et n’a pas été publié sur Twitter, mais ce n’est pas exactement un stumper. Bezos est également bien connu pour encourager les gens à lui envoyer un courriel personnellement à des adresses publiques, donc ce n’est pas non plus un énorme secret.)

La connaissance de l’adresse e-mail d’une personne ne compromet évidemment pas directement la sécurité du compte, mais elle expose potentiellement ce compte à des éléments tels que les tentatives de phishing, les logiciels malveillants, le spam, les menaces et les tentatives d’effraction à l’aide de mots de passe partagés qui auraient pu être révélés précédemment violations de données. Cela dit, il n’y a pratiquement aucun moyen d’éviter collecte automatisée des e-mails, même si l’adresse e-mail en question n’a jamais été publiée publiquement ou a réussi d’une manière ou d’une autre à éviter d’être incluse dans une violation de données.

Il y a aussi le problème que Substack a maintenant créé un nombre inconnu de fils de discussion auxquels des centaines de personnes peuvent et vont répondre, déclenchant peut-être ce que l’on appelle un Répondre à tous. Alors, euh, bonne chance avec ça.

Dans une déclaration sur Twitter, Substack a écrit qu’il avait simplement commis une énorme erreur qu’il avait réussi à corriger après l’envoi du «premier lot» d’e-mails. Il a également indiqué que seul un «petit pourcentage» d’utilisateurs était inclus.

«Bien que nous ayons détecté l’erreur tôt, il était trop tard pour retirer ce premier lot. Nous sommes désolés que cela se soit produit – et nous sommes conscients de l’ironie », société ajoutée. «C’était une véritable erreur, nous nous sentons terribles à ce sujet et nous ferons tout ce qui est en notre pouvoir pour ne jamais la répéter.»

Gizmodo a contacté Substack pour obtenir des commentaires, et nous mettrons à jour si nous avons une réponse.