En hacker fik i oktober 2025 adgang til en platform, som også danske virksomheder bruger til nyhedsbreve og kundekommunikation. I fire måneder vidste hverken platformen eller dens brugere, at næsten 700.000 kontis data lå åbent.
Substacks fire måneder i blinde
Platformen er Substack. Angrebet skete i oktober 2025. Men først den 3. februar 2026 opdagede virksomheden selv, at en uautoriseret tredjepart havde haft adgang til deres systemer.
Da hackeren tre dage inden lagde en database med 697.313 brugerregistreringer på et hackerforum, indeholdt den langt mere end e-mailadresser. Navne, telefonnumre, Stripe betalings-ID’er, profiler, biografier og interne systemfelter, som kun burde være tilgængelige for platformens egne administratorer.
Fire måneder med uopdaget adgang. Det er kernen i problemet. I de fire måneder kan en angriber kortlægge relationer mellem mennesker, forberede målrettede phishing-kampagner med troværdige afsendernavne og sælge data videre, længe inden nogen ved, at der er sket et brud.
241 dage er gennemsnittet
Ifølge IBM’s Cost of a Data Breach 2025 tager det i gennemsnit 241 dage at opdage og inddæmme et sikkerhedsbrud. For brud via leverandørkæden er tallet 267 dage. Og Verizon’s Data Breach Investigations Report 2025 viser, at 30 procent af alle bekræftede databrud nu involverer en tredjepartsplatform, en fordobling på bare ét år.
Det handler ikke kun om Substack
Det handler om alle de platforme, jeres virksomhed bruger hver eneste dag. CRM, bogføring, nyhedsbreve, projektledelse, lønbureau, rekruttering. Ifølge Danmarks Statistik bruger 68 procent af danske virksomheder med mindst 10 ansatte eksterne leverandører til IT-sikkerhedsopgaver. Jeres data ligger allerede hos dem.
Spørgsmålet er, om I ved, hvad der sker, når en af dem bliver ramt. Og her er den ubehagelige sandhed: de fleste virksomheder har aldrig spurgt.
Ifølge en rapport fra Syddansk Universitet scorer danske produktions-SMV’er kun 2 ud af 5 på at stille cybersikkerhedskrav til deres leverandører.
Tre ting I kan gøre i næste uge
Lav en SaaS-kortlægning. List alle eksterne platforme, der har adgang til jeres kunde-, medarbejder- eller forretningsdata. Spørg jer selv: Hvem har vi aldrig sikkerhedsauditeret?
Stil krav til detektionstid i jeres kontrakter. Hvor hurtigt skal leverandøren opdage uautoriseret adgang, og hvornår skal I orienteres? Timer, ikke måneder. Og få det på skrift.
Minimér data hos tredjeparter. Giv kun platforme de data, de absolut har brug for. Hvis jeres nyhedsbrevsplatform ikke behøver telefonnumre, så lad være med at uploade dem. Det, der ikke er der, kan ikke stjæles.
Jeres data, jeres ansvar
Substack-sagen viser, at selv de platforme, vi stoler på i hverdagen, kan have åbne døre i månedsvis. En leverandøraudit giver jer overblik over, hvilke data jeres eksterne platforme reelt har adgang til, og hvordan de beskytter dem. Ikke hvad leverandøren fortæller jer i et salgsmøde, men hvad en uvildig gennemgang faktisk afslører.
Hvornår har I sidst fået en uvildig gennemgang af, hvilke data jeres eksterne platforme har adgang til, og hvordan de beskytter dem?
Har du brug for en uvildig vurdering af jeres leverandørsikkerhed og dataeksponering? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
