اختراق بيانات Substack: لماذا تُعدّ تسريبات البريد الإلكتروني والهاتف مهمة (وماذا يجب فعله بعد ذلك)

/عام/ بواسطة

عندما تقول شركة ما "لم يتم الكشف إلا عن عناوين البريد الإلكتروني وأرقام الهواتف"، فمن السهل تجاهل الأمر. لا توجد كلمات مرور، ولا بطاقات ائتمان - فما الضرر إذن؟

في الواقع، تُعد عناوين البريد الإلكتروني وأرقام الهواتف من أقوى الأدوات.مفاتيح الربطفي عالم الإنترنت الحديث، تُعدّ هذه المعرّفات أساسيةً لتمكين المهاجمين من ربط بياناتك عبر مختلف الخدمات، واستهدافك برسائل تصيّد إلكتروني ورسائل نصية مُقنعة، وفي بعض الحالات، محاولة اختراق حسابك عبر إعادة تعيين كلمة المرور أو أساليب الهندسة الاجتماعية المُشابهة لتبديل شريحة SIM. صحيحٌ أن تسريب معلومات الاتصال لا يُضاهي تسريب البيانات المصرفية، إلا أنه قد يكون الشرارة الأولى التي تُسهّل تنفيذ هجمات أخرى بتكلفة أقل وفرص نجاح أكبر.

بدأت شركة Substack هذا الأسبوع بإخطار بعض حاملي الحسابات بأن حادثة أمنية سمحت لطرف غير مصرح له بالوصول إلى بيانات مستخدمين محدودة - بما في ذلك عناوين البريد الإلكتروني وأرقام الهواتف - وقالت Substack إن الوصول حدث في أكتوبر 2025 وتم اكتشافه والتحقيق فيه في أوائل فبراير 2026. واعتذر الرئيس التنفيذي لشركة Substack وقال إنه لم يتم الوصول إلى كلمات المرور والمعلومات المالية.

دعونا نحلل ما يمكن أن تتيحه "بيانات المستخدم المحدودة"، وما يجب على المستخدمين فعله (حسب ترتيب التأثير)، وكيف يبدو رد فعل المنصة الجيد عندما تكون الحقول المسربة "مجرد" تفاصيل الاتصال.

ما يقوله موقع Substack عما حدث (وما زال مجهولاً)

وفقًا لرسالة إشعار Substack التي تم نشرها علنًا ونشرها بواسطةذا فيرجرصدت الشركة أدلةً على وجود ثغرة سمحت لطرف ثالث غير مصرح له بالوصول إلى بيانات مستخدمين محدودة دون إذن، بما في ذلك عناوين البريد الإلكتروني وأرقام الهواتف والبيانات الوصفية الداخلية. وأكدت شركة Substack أنها أصلحت المشكلة وتجري تحقيقًا شاملًا، وأن أرقام بطاقات الائتمان وكلمات المرور والمعلومات المالية لم يتم الوصول إليها.

هناك جزآن من هذا البيان مهمان لفهم المخاطر:

  • توقيت:حدث الاختراق قبل أشهر (أكتوبر 2025)، ولكن تم اكتشافه لاحقاً. هذه الفجوة الزمنية قد تؤثر على المدة التي أتيحت للمهاجم لاستكشاف الأنظمة أو استخراج البيانات.
  • عدم اليقين في النطاق:لم تحدد الشركة علنًا عدد المستخدمين المتضررين، أو ما تتضمنه "البيانات الوصفية الداخلية"، أو ما إذا كانت أي حالة حساب (مثل سجل تسجيل الدخول، أو بصمات الجهاز، أو قوائم المشتركين) قد تم الكشف عنها.

لا تعني هذه الأمور المجهولة بالضرورة الأسوأ، لكنها تعني أنه ينبغي على المستخدمين افتراض أن بريدهم الإلكتروني ورقم هاتفهم قد يكونان في أيدي شخص مستعد لاستغلالهما، وأن حساباتهم الإلكترونية التي تستخدم هذه البيانات قد تشهد زيادة في عمليات الاحتيال الموجهة.

لماذا يُعدّ البريد الإلكتروني ورقم الهاتف ثغرة أمنية بالغة الأهمية حتى بدون كلمات مرور؟

تُعتبر عناوين البريد الإلكتروني وأرقام الهواتف مميزة لأنها تُستخدم في ثلاث وظائف بالغة الأهمية:

  • هوية:إنها المعرفات التي تستخدمها العديد من الخدمات كاسم المستخدم الخاص بك.
  • استعادة:إنها القنوات المستخدمة لإعادة تعيين كلمات المرور.
  • يصل:إنها الطريقة التي يمكن للمحتالين من خلالها الاتصال بك بتكلفة زهيدة وعلى نطاق واسع (عبر البريد الإلكتروني) أو بإلحاح ومصداقية عاليتين (عبر الرسائل النصية القصيرة/الهاتف).

بمجرد حصول المهاجم على بريدك الإلكتروني ورقم هاتفك، يصبح بإمكانه فعل أكثر من مجرد إرسال رسائل بريد إلكتروني عشوائية. إذ يمكنه تخصيص الرسائل لتشير إلى الخدمة المخترقة، وممارسة الضغط عليك ("سيتم تعليق حسابك")، وتوجيهك إلى صفحة تسجيل دخول مزيفة أو عملية "تأكيد رقم هاتفك" وهمية. ليس الهدف بالضرورة اختراق Substack، بل اختراق أي خدمة أخرى تستخدمها وتشارك نفس معلومات الاتصال.

لهذا السبب، تُشدد وكالات مثل وكالة الأمن السيبراني وأمن البنية التحتية (CISA) على ضرورة توخي الحذر من الرسائل غير المرغوب فيها، وخاصة تلك التي تحاول خلق شعور بالإلحاح، أو طلب معلومات شخصية، أو حثّك على النقر على رابط. يُعدّ التصيّد الاحتيالي، ونسخته عبر الرسائل النصية القصيرة (التصيّد عبر الرسائل النصية القصيرة)، من أرخص الطرق التي يستخدمها المهاجمون لتحويل معلومات الاتصال المسربة إلى أموال أو الوصول إلى بيانات حساسة.

المخاطر العملية لمستخدمي Substack

فيما يلي التهديدات الأكثر احتمالاً التي تلي تسريب معلومات الاتصال، وكيف تظهر في الحياة الواقعية.

1) رسائل بريد إلكتروني تصيدية تبدو وكأنها من Substack

توقع تلقي رسائل بريد إلكتروني تدّعي أنك بحاجة إلى "تأكيد كلمة مرورك" أو "إعادة التحقق من تفاصيل الدفع" أو "تجنب فقدان الوصول". قد تتضمن هذه الرسائل شعارات تبدو رسمية وأسماء مرسلين مقنعة. عادةً ما تكمن الحيلة في النطاق (عنوان URL مشابه) أو في رابط يؤدي إلى مكان آخر غيرsubstack.com.

والأسوأ من ذلك: إذا كان لدى المهاجمين أيضًا "بيانات وصفية داخلية"، فقد يعرفون ما إذا كنت كاتبًا أم قارئًا، أو ما هي النشرات الإخبارية التي تشترك فيها، ويمكنهم جعل الرسائل أكثر إقناعًا.

2) التصيد عبر الرسائل النصية والمكالمات الهاتفية

تُتيح أرقام الهواتف المُسرّبة فرصةً لنوعٍ آخر من الاحتيال: رسائل نصية قصيرة وعاجلة ومكالمات تستغل ميل الناس إلى الثقة بالاتصالات الهاتفية أكثر من البريد الإلكتروني. وتشير وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى أن المهاجمين قد يجمعون بين المكالمات الصوتية والرسائل النصية ("التصيّد الصوتي" و"التصيّد عبر الرسائل النصية") مع تزييف هوية المتصل، ما يدفع الضحايا إلى الكشف عن معلومات حساسة أو تثبيت برامج "دعم".

قد يقول أحد المتسللين عبر الرسائل النصية: "أمان Substack: تم رصد تسجيل دخول غير معتاد. أجب بـ "نعم" لقفل حسابك." إذا أجبت، فأنت بذلك تؤكد أن الرقم نشط، وبالتالي تكون قد دخلت في محادثة.

3) محاولات الاستيلاء على الحساب عبر إعادة تعيين كلمة المرور في مكان آخر

إذا كنت تعيد استخدام كلمات المرور (أو تستخدم كلمات مرور ضعيفة)، فإن معلومات الاتصال تصبح ثغرة أمنية. حتى لو لم يتم تسريب كلمة مرورك من Substack، يمكن للمهاجم محاولة إعادة تعيين كلمة المرور على مواقع أخرى تستخدم بريدك الإلكتروني أو رقم هاتفك. لا يحتاجون إلى كلمة المرور القديمة إذا تمكنوا من إقناعك بتسليم رمز، أو إذا تمكنوا من اختراق حساب بريدك الإلكتروني.

ولهذا السبب فإن "الجواهر الحقيقية" هي عادةً صندوق بريدك الإلكتروني ورقم هاتفك المحمول: إذا سيطرت على أي منهما، فغالباً ما يستطيع المهاجم الانتقال إلى العديد من الحسابات الأخرى.

4) محاولات الاحتيال عن طريق تبديل شريحة SIM / نقل الرقم

إن استبدال شريحة SIM ليس بالأمر الجديد، لكن وجود قاعدة بيانات تربط أرقام الهواتف بخدمة إلكترونية محددة قد يساعد المهاجمين في اختيار أهدافهم. وقد حسّنت العديد من شركات الاتصالات دفاعاتها، إلا أن الهندسة الاجتماعية لا تزال تشكل خطراً، خاصةً إذا تمكن المهاجم من جمع معلومات إضافية من مصادر أخرى.

إذا كنت تعتمد على الرسائل النصية القصيرة للتحقق الثنائي (2FA) لحساباتك المهمة، فإن استبدال شريحة SIM يُعدّ من أسوأ الاحتمالات. لكن لا داعي للذعر، بل هو سببٌ لتقليل الاعتماد على الرسائل النصية القصيرة لتسجيلات الدخول المهمة حيثما توجد خيارات أفضل.

ما يجب عليك فعله الآن (الأكثر تأثيراً أولاً)

يحثّ إشعار Substack على توخي الحذر الشديد عند التعامل مع رسائل البريد الإلكتروني أو الرسائل النصية المشبوهة. هذه نصيحة جيدة، لكنها غير واضحة. إليك قائمة تحقق أكثر تحديدًا وترتيبًا حسب الأولوية، يمكن لمعظم المستخدمين تنفيذها في غضون 15-30 دقيقة.

1) قم بتأمين حساب بريدك الإلكتروني الأساسي

صندوق بريدك الإلكتروني هو المفتاح الرئيسي لإعادة تعيين كلمات المرور. إذا كنت ستفعل شيئًا واحدًا فقط، فافعل هذا:

  • تشغيلالمصادقة الثنائيةلمزود خدمة البريد الإلكتروني الخاص بك (يفضل استخدام تطبيق مصادقة أو مفتاح مادي).
  • مراجعةخيارات استعادة الحساب(قم بعمل نسخة احتياطية من البريد الإلكتروني/الهاتف) وقم بإزالة أي شيء لا تتحكم فيه.
  • قم بتغيير كلمة مرور بريدك الإلكتروني إذا كنت تستخدمها في أي مكان آخر.

إذا كنت كاتبًا تستخدم Substack بشكل احترافي، فتعامل مع أمان بريدك الإلكتروني كما تتعامل مع مصرفك: إنه بنية تحتية.

2) غيّر كلمة مرور حسابك على Substack (وتوقف عن إعادة استخدام كلمات المرور)

حتى لو أكد موقع Substack عدم الوصول إلى كلمات المرور، فإن تغيير كلمة مرورك يُعدّ إجراءً وقائيًا بسيطًا، خاصةً إذا كنت قد استخدمت نفس كلمة المرور على مواقع أخرى. استخدم كلمة مرور فريدة وطويلة يتم إنشاؤها بواسطة مدير كلمات المرور.

إذا كان تطبيق Substack يدعم كلمات المرور أو خيارات تسجيل دخول أكثر أمانًا، ففكّر في تفعيلها. الهدف على المدى البعيد هو الحدّ من فعالية عمليات التصيّد الاحتيالي عن طريق تقليل الاعتماد على كلمات المرور المشتركة التي يمكنك إدخالها في موقع ويب مزيف.

3) تفعيل المصادقة الثنائية القوية حيثما يكون ذلك أكثر أهمية

بالنسبة لأهم حساباتك (البريد الإلكتروني، والخدمات المصرفية، والتخزين السحابي، وحسابات التواصل الاجتماعي التي يمكن استخدامها في عمليات الاحتيال)، يُفضل ما يلي:

  • تطبيق المصادقة (TOTP) عبر الرسائل النصية القصيرة
  • مفاتيح أمان الأجهزة (الأفضل، عند توفرها)
  • مفاتيح المرور (تزداد فعاليتها ضد التصيد الاحتيالي، وذلك حسب طريقة التنفيذ)

التحقق الثنائي عبر الرسائل النصية أفضل من لا شيء، ولكنه عرضة لهجمات استغلال أرقام الهواتف والهندسة الاجتماعية الموجهة. إذا كنت منشئ محتوى يتفاعل مع الجمهور، فمن الأفضل لك الترقية.

4) اضبط فلتر البريد العشوائي الذهني لديك لبضعة أسابيع

بعد الكشف عن اختراق أمني، غالباً ما يشنّ المهاجمون هجماتهم بينما لا تزال القصة حاضرة في الأذهان. خلال الشهر القادم تقريباً:

  • كن متشككاً في الرسائل التي تذكر Substack أو النشرات الإخبارية أو "التحقق" أو "الأمان".
  • لا تنقر على روابط تسجيل الدخول الموجودة في رسائل البريد الإلكتروني/الرسائل النصية. بدلاً من ذلك، اكتب اسم النطاق بنفسك أو استخدم إشارة مرجعية.
  • احذر من الطلبات العاجلة للحصول على رموز التحقق لمرة واحدة. لا ينبغي لأي جهة دعم رسمية أن تطلب منك رموز التحقق الثنائي.

إن توجيهات وكالة الأمن السيبراني وأمن البنية التحتية (CISA) صريحة لسبب وجيه: أسهل طريقة لتجنب التعرض للاحتيال الإلكتروني هي افتراض أن أي طلب غير مرغوب فيه قد يكون عدائيًا حتى تتحقق منه بشكل مستقل.

5) إذا كنت كاتبًا على منصة Substack: ضع في اعتبارك المخاطر التي تواجه جمهورك

يواجه صناع المحتوى تهديدًا إضافيًا: انتحال الشخصية. فإذا تمكن المهاجمون من انتحال هويتك المتعلقة بمنصة Substack بشكل مقنع، فقد يستهدفون مشتركي قناتك بعروض خاصة مزيفة، أو عمليات احتيال بالعملات الرقمية، أو روابط تبرع وهمية.

فكّر في إرسال ملاحظة قصيرة إلى المشتركين لديك: لن تطلب أبدًا كلمات المرور أو الرموز لمرة واحدة أو تفاصيل الدفع عبر البريد الإلكتروني.

هذا ما يبدو عليه رد الشركة الجيد (أكثر من مجرد اعتذار)

تتضمن رسالة Substack حلاً وتحقيقاً. هذا ضروري، لكن أفضل الاستجابات للاختراقات تتضمن أيضاًمحددتؤكد إرشادات لجنة التجارة الفيدرالية للشركات على تأمين العمليات، ومعالجة الثغرات الأمنية، والتواصل بوضوح دون إغفال أي معلومات مضللة. وبالنسبة للمستهلكين، فإن "الوضوح" يعني:

  • ما هي حقول البيانات التي تم الوصول إليها بالضبط (البريد الإلكتروني، رقم الهاتف، الاسم، العنوان، سجلات IP، قوائم المشتركين، الرسائل الخاصة، إلخ).
  • كم عدد الحسابات المتأثرة، حتى لو كان ذلك على شكل نطاق؟
  • ما الذي يمكن للمستخدمين فعله لتقليل المخاطر بشكل فعال (المصادقة الثنائية، مدير كلمات المرور، الحذر من التصيد الاحتيالي عبر الرسائل النصية القصيرة)
  • كيف وقع الحادث على مستوى عالٍ (مثل بيانات اعتماد مكشوفة، نقطة نهاية ضعيفة، خلل في التكوين) بمجرد أن يصبح من الآمن الكشف عنه
  • ما هي مؤشرات الاختراق الموجودة (هل كانت هناك عمليات تسجيل دخول مشبوهة؟ هل يمكن للمستخدمين عرض الجلسات الأخيرة؟)

تتجنب الشركات أحيانًا الإفصاح عن التفاصيل خشية مساعدة المهاجمين المقلدين أو لأن التحقيقات لا تزال جارية. لكن التكتم المفرط يترك المستخدمين في حيرة من أمرهم، والتخمين غالبًا ما يؤدي إما إلى الذعر أو إلى التراخي.

لماذا تُعدّ "البيانات الوصفية الداخلية" أكثر أهمية مما تبدو عليه؟

في العديد من الاختراقات، لا تكمن المعلومات الأكثر ضرراً في الحقول الظاهرة للعيان. قد تشمل "البيانات الوصفية الداخلية" أشياءً مثل:

  • تاريخ إنشاء الحساب ووقت آخر تسجيل دخول
  • التحقق من صحة البريد الإلكتروني
  • ملكية النشرة الإخبارية أو عدد المشتركين
  • حالة التحقق من الهاتف
  • سجل تذاكر الدعم

تُساعد كلٌّ من هذه العوامل المُهاجم على صياغة رسالة تبدو حقيقية. فإذا جاء في رسالة نصية: "حسابك على Substack، الذي أُنشئ عام ٢٠٢١، يحتاج إلى إعادة التحقق"، وكان هذا صحيحًا، فمن المرجح أن يمتثل المُستهدف. ولهذا السبب، فإنّ الشفافية بشأن البيانات الوصفية المُسربة ليست مجرد تفصيل تقني، بل هي مرتبطة ارتباطًا وثيقًا بمدى إقناع الموجة التالية من عمليات الاحتيال.

ما لا يجب عليك فعله

ثلاثة أخطاء شائعة بعد الكشف عن خرق أمني:

  • لا ترد على الرسائل النصية العشوائية التي تدّعي "الأمان". فأنت بذلك تؤكد رقمك وتدعو المزيد من جهات الاتصال.
  • لا تقم بتثبيت تطبيقات "الدعم" لمجرد أن أحدهم اتصل بك. إذا كنت بحاجة إلى مساعدة، فبادر بالتواصل عبر القنوات الرسمية التي تبحث عنها بنفسك.
  • لا تفترض أنك في مأمن لمجرد عدم تلقيك بريدًا إلكترونيًا. قد تكون الإشعارات مُعدّة مسبقًا، أو غير مكتملة، أو محدودة ببيانات الاتصال المسجلة. اعتبر هذا بمثابة إشارة تحذير عامة، وليس دليلًا على سلامتك.

الدرس الأهم: بيانات الاتصال أصبحت الآن بيانات "حساسة".

نميل إلى تصنيف البيانات بناءً على قدرتها على استنزاف الحسابات المصرفية مباشرةً. لكن اقتصاد الاحتيال الحديث غالبًا ما يعمل بطريقة غير مباشرة: تسريب بيانات التعريف الشخصية، وانتحال بيانات الاعتماد، والسيطرة على البريد الإلكتروني، وإعادة تعيين حسابات أخرى، واستغلال الوصول إليها لتحقيق الربح. عناوين البريد الإلكتروني وأرقام الهواتف هي الخطوة الأولى في هذه العملية.

بالنسبة للمنصات، هذا يعني أن حماية بيانات الاتصال تتطلب نفس الجدية التي تتطلبها حماية كلمات المرور - ليس لأن الحقول متطابقة، ولكن لأن المهاجمين يمكنهم تحويلها إلى أداة ضغط.

بالنسبة للمستخدمين، هذا بمثابة تذكير بأن أفضل دفاع ليس السرية التامة (فالاختراقات تحدث)، بل المرونة: كلمات مرور فريدة، ومصادقة ثنائية قوية، وعادات تجعل التصيد الاحتيالي غير مربح.

خلاصة القول

قد يبدو تسريب عناوين البريد الإلكتروني وأرقام الهواتف "محدودًا"، ولكنه مع ذلك قد يزيد بشكل ملحوظ من تعرضك لمحاولات التصيد الاحتيالي، والتصيد عبر الرسائل النصية، واختراق الحسابات في أماكن أخرى. اعتبر إشعار Substack بمثابة تنبيه لتعزيز أمان النظامين الأكثر أهمية: حساب بريدك الإلكتروني وسياسة تسجيل الدخول الخاصة بك.

وإذا لاحظت ارتفاعًا مفاجئًا في رسائل "أمان Substack"، فافترض أن الحادث قد تسبب في موجة احتيال جديدة - ولا تنقر أولاً، تحقق أولاً.

مصادر

Document Title
Substack data breach: why email-and-phone leaks matter (and what to do next)
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
Page Content
Substack data breach: why email-and-phone leaks matter (and what to do next)
Nature
Climate
/
General
/ By
Admin
When a company says “only emails and phone numbers were exposed,” it’s easy to shrug. No passwords, no credit cards — so what’s the harm?
In reality, email addresses and phone numbers are two of the most powerful
join keys
in the modern internet. They’re the identifiers that let attackers connect your presence across services, target you with convincing phishing and smishing, and in some cases attempt account takeovers through password resets or SIM swap–style social engineering. A leak of contact info isn’t the same as a leak of bank details, but it can be the first domino that makes other attacks cheaper and more likely to succeed.
This week, Substack began notifying some account holders that a security incident allowed an unauthorized party to access limited user data — including email addresses and phone numbers — with Substack saying the access occurred in October 2025 and was discovered and investigated in early February 2026. Substack’s CEO apologized and said that passwords and financial information were not accessed.
Let’s unpack what “limited user data” can still enable, what users should do (in order of impact), and what a good platform response looks like when the leaked fields are “just” contact details.
What Substack says happened (and what’s still unknown)
According to Substack’s notification message shared publicly and reported by
The Verge
, the company identified evidence of an issue that allowed an unauthorized third party to access limited user data without permission, including email addresses, phone numbers, and internal metadata. Substack says it fixed the problem and is conducting a full investigation, and that credit card numbers, passwords, and financial information were not accessed.
Two parts of that statement matter for understanding risk:
Timing:
access occurred months earlier (October 2025) but was identified later. That gap can affect how long an attacker had to explore systems or exfiltrate data.
Scope uncertainty:
the company did not publicly specify how many users were affected, what “internal metadata” includes, or whether any account state (like login history, device fingerprints, or subscriber lists) was exposed.
Those unknowns don’t automatically mean the worst. But they do mean users should assume that their email and phone number may be in the hands of someone who is willing to exploit them — and that their online accounts that use those identifiers may see an uptick in targeted scams.
Why email + phone is a high-value leak even without passwords
Email addresses and phone numbers are special because they’re used for three critical jobs:
Identity:
they’re the handle many services use as your username.
Recovery:
they’re the channels used to reset passwords.
Reach:
they’re how scammers can contact you cheaply at scale (email) or with high urgency and credibility (SMS/phone).
Once an attacker has your email and phone, they can do more than send generic spam. They can tailor messages that reference the breached service, create pressure (“your account will be suspended”), and funnel you into a fake login page or a fake “verify your phone” flow. The goal isn’t necessarily to break into Substack; it’s to break into whatever else you use that shares the same contact info.
This is why agencies like CISA emphasize skepticism toward unsolicited messages, especially those that attempt to create urgency, request personal information, or push you to click a link. Phishing and its SMS variant (“smishing”) are often the cheapest way for an attacker to turn leaked contact info into money or access.
The practical risks for Substack users
Here are the most likely follow-on threats after a contact-info leak, and how they show up in real life.
1) Phishing emails that look like Substack
Expect emails that claim you need to “confirm your password,” “re-verify your payout details,” or “avoid losing access.” They may include official-looking logos and plausible sender names. The trick is usually in the domain (a lookalike URL) or in a link that goes somewhere other than
substack.com
.
What makes this worse: if attackers also have “internal metadata,” they may know whether you’re a writer vs. a reader, or what newsletters you subscribe to, and can make messages more convincing.
2) Smishing and vishing (texts and calls)
Leaked phone numbers invite a different style of scam: short, urgent texts and calls that exploit the fact that people tend to trust phone communications more than email. CISA notes that attackers can combine voice and text (“vishing” and “smishing”) with spoofed caller ID, pushing victims to disclose sensitive information or install “support” software.
A typical smish might say: “Substack Security: unusual login detected. Reply YES to lock your account.” If you reply, you’ve confirmed the number is active — and you’re engaged.
3) Account takeover attempts via password reset elsewhere
If you reuse passwords (or use weak ones), contact info becomes a way in. Even if your password wasn’t leaked from Substack, an attacker can attempt password resets on other sites that use your email or phone number. They don’t need the old password if they can convince you to hand over a code, or if they can compromise your email account.
This is why the “real crown jewels” are usually your email inbox and your mobile number: control either of those, and an attacker can often pivot into many other accounts.
4) SIM swap / number-port fraud attempts
SIM swapping isn’t new, but a dataset that ties phone numbers to a specific online service can help attackers pick targets. Many mobile carriers have improved defenses, but social engineering remains a risk, especially if an attacker can gather additional context from other sources.
If you rely on SMS for two-factor authentication (2FA) on important accounts, a SIM swap is one of the scariest outcomes. That’s not a reason to panic — it’s a reason to reduce dependence on SMS for critical logins where you have better options.
What you should do now (highest impact first)
Substack’s notification encourages extra caution around suspicious emails or texts. That’s good advice, but it’s vague. Here’s a more concrete, prioritized checklist that most people can execute in 15–30 minutes.
1) Lock down your primary email account
Your email inbox is the master key for password resets. If you do only one thing, do this:
Turn on
two-factor authentication
for your email provider (prefer an authenticator app or hardware key).
Review
account recovery options
(backup email/phone) and remove anything you don’t control.
Change your email password if it’s reused anywhere else.
If you’re a writer who uses Substack professionally, treat your email security like you treat your bank: it’s infrastructure.
2) Change your Substack password (and stop reusing passwords)
Even if Substack says passwords weren’t accessed, changing your password is cheap insurance — especially if you’ve used the same password on other sites. Use a unique, long password generated by a password manager.
If Substack supports passkeys or stronger login options, consider enabling them. The long-term goal is to make phishing less effective by reducing reliance on shared secrets you can type into a fake website.
3) Enable stronger 2FA where it matters most
On your most important accounts (email, banking, cloud storage, social media handles that can be used for scams), prefer:
Authenticator app (TOTP) over SMS
Hardware security keys (best, when available)
Passkeys (increasingly strong against phishing, depending on implementation)
SMS-based 2FA is better than nothing, but it’s vulnerable to number-port attacks and targeted social engineering. If you’re a public-facing creator, it’s worth upgrading.
4) Adjust your mental spam filter for a few weeks
After a breach disclosure, attackers often strike while the story is fresh. For the next month or so:
Be skeptical of messages that mention Substack, newsletters, “verification,” or “security.”
Don’t click login links from emails/texts. Instead, type the domain yourself or use a bookmark.
Be wary of urgent requests for one-time codes. No legitimate company support should ask for your 2FA codes.
CISA’s guidance is blunt for a reason: the easiest way to avoid being phished is to assume any unsolicited request could be hostile until you independently verify it.
5) If you’re a Substack writer: consider your audience-facing risk
Creators have an extra threat: impersonation. If attackers can convincingly spoof your Substack-related identity, they may target your subscribers with “special offers,” crypto scams, or fake fundraising links.
Consider posting a short note to your subscribers: you will never ask for passwords, one-time codes, or payment details over email.
What a good company response looks like (beyond an apology)
Substack’s message includes a fix and an investigation. That’s necessary, but the best breach responses are also
specific
. The FTC’s guidance for businesses emphasizes securing operations, fixing vulnerabilities, and communicating clearly without misleading omissions. In consumer terms, “clear” means:
Exactly what data fields were accessed (email, phone, name, address, IP logs, subscriber lists, DMs, etc.)
How many accounts were affected, even as a range
What users can do that meaningfully reduces risk (2FA, password manager, watch for smishing)
How the incident happened at a high level (e.g., exposed credential, vulnerable endpoint, misconfiguration) once it’s safe to disclose
What indicators of compromise exist (were there suspicious logins? can users view recent sessions?)
Companies sometimes avoid details because they don’t want to aid copycat attackers or because investigations are ongoing. But withholding too much leaves users guessing — and guessing tends to produce either panic or complacency.
Why “internal metadata” matters more than it sounds
In many breaches, the most damaging information isn’t the obvious fields. “Internal metadata” can be things like:
Account creation date and last login time
Whether an email is verified
Newsletter ownership or subscriber counts
Phone verification status
Support ticket history
Each of these helps an attacker craft a message that feels real. If a text says “Your Substack account created in 2021 needs re-verification,” and that’s true, the target is more likely to comply. That’s why transparency about what metadata was exposed is not a nerdy detail — it’s directly tied to how convincing the next wave of scams will be.
What you should not do
Three common mistakes after a breach disclosure:
Don’t reply to random “security” texts. You’re validating your number and inviting more contact.
Don’t install “support” apps because someone called you. If you need help, initiate contact through official channels you look up yourself.
Don’t assume you’re safe because you didn’t get an email. Notifications can be staged, incomplete, or limited by contact details on file. Treat this as a general warning sign, not a personal all-clear.
The bigger lesson: contact data is now “sensitive” data
We tend to rank data by whether it can directly drain a bank account. But the modern scam economy often works indirectly: leak identifiers, phish credentials, take over an email, reset other accounts, monetize access. Email addresses and phone numbers are the first rung of that ladder.
For platforms, this means that protecting contact data requires the same seriousness as protecting passwords — not because the fields are equivalent, but because attackers can turn them into leverage.
For users, it’s a reminder that the best defense isn’t perfect secrecy (breaches happen), it’s resilience: unique passwords, strong 2FA, and habits that make phishing unprofitable.
Bottom line
A leak of emails and phone numbers may sound “limited,” but it can still meaningfully increase your exposure to targeted phishing, smishing, and account takeover attempts elsewhere. Treat Substack’s notice as a prompt to harden the two systems that matter most: your email account and your login hygiene.
And if you see a sudden spike in “Substack security” messages, assume the incident has created a new scam wave — and don’t click first, verify first.
Sources
https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
https://lorichristian.substack.com/p/notice-of-data-breach
https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
العربية