Παραβίαση δεδομένων Substack: γιατί έχουν σημασία οι διαρροές email και τηλεφώνου (και τι πρέπει να κάνετε στη συνέχεια)

/Γενικός/ Από

Όταν μια εταιρεία λέει «εκτεθήκαν μόνο email και αριθμοί τηλεφώνου», είναι εύκολο να την αγνοήσει κανείς. Ούτε κωδικοί πρόσβασης, ούτε πιστωτικές κάρτες — ποιο είναι λοιπόν το κακό;

Στην πραγματικότητα, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι αριθμοί τηλεφώνου είναι δύο από τα πιο ισχυράκλειδιά σύνδεσηςστο σύγχρονο διαδίκτυο. Είναι τα αναγνωριστικά που επιτρέπουν στους εισβολείς να συνδέουν την παρουσία σας σε διάφορες υπηρεσίες, να σας στοχεύουν με πειστικά phishing και smishing, και σε ορισμένες περιπτώσεις να επιχειρούν καταλήψεις λογαριασμών μέσω επαναφοράς κωδικού πρόσβασης ή κοινωνικής μηχανικής τύπου ανταλλαγής SIM. Η διαρροή στοιχείων επικοινωνίας δεν είναι η ίδια με τη διαρροή τραπεζικών στοιχείων, αλλά μπορεί να είναι το πρώτο ντόμινο που κάνει άλλες επιθέσεις φθηνότερες και πιο πιθανό να πετύχουν.

Αυτή την εβδομάδα, η Substack άρχισε να ειδοποιεί ορισμένους κατόχους λογαριασμών ότι ένα περιστατικό ασφαλείας επέτρεψε σε ένα μη εξουσιοδοτημένο μέρος να αποκτήσει πρόσβαση σε περιορισμένα δεδομένα χρηστών — συμπεριλαμβανομένων διευθύνσεων email και αριθμών τηλεφώνου — με την Substack να αναφέρει ότι η πρόσβαση πραγματοποιήθηκε τον Οκτώβριο του 2025 και ανακαλύφθηκε και διερευνήθηκε στις αρχές Φεβρουαρίου του 2026. Ο Διευθύνων Σύμβουλος της Substack ζήτησε συγγνώμη και είπε ότι δεν έγινε πρόσβαση σε κωδικούς πρόσβασης και οικονομικές πληροφορίες.

Ας αναλύσουμε τι μπορούν ακόμα να επιτρέψουν τα «περιορισμένα δεδομένα χρήστη», τι πρέπει να κάνουν οι χρήστες (κατά σειρά επίδρασης) και πώς μοιάζει μια καλή απόκριση πλατφόρμας όταν τα πεδία που έχουν διαρρεύσει είναι «απλώς» στοιχεία επικοινωνίας.

Αυτό που λέει το Substack συνέβη (και τι είναι ακόμα άγνωστο)

Σύμφωνα με το μήνυμα ειδοποίησης του Substack που κοινοποιήθηκε δημόσια και αναφέρθηκε απόΤο Verge, η εταιρεία εντόπισε στοιχεία για ένα πρόβλημα που επέτρεπε σε ένα μη εξουσιοδοτημένο τρίτο μέρος να έχει πρόσβαση σε περιορισμένα δεδομένα χρηστών χωρίς άδεια, συμπεριλαμβανομένων διευθύνσεων email, αριθμών τηλεφώνου και εσωτερικών μεταδεδομένων. Η Substack αναφέρει ότι διόρθωσε το πρόβλημα και διεξάγει πλήρη έρευνα, και ότι δεν έγινε πρόσβαση σε αριθμούς πιστωτικών καρτών, κωδικούς πρόσβασης και οικονομικές πληροφορίες.

Δύο μέρη αυτής της δήλωσης έχουν σημασία για την κατανόηση του κινδύνου:

  • Συγχρονισμός:Η πρόσβαση πραγματοποιήθηκε μήνες νωρίτερα (Οκτώβριος 2025), αλλά εντοπίστηκε αργότερα. Αυτό το κενό μπορεί να επηρεάσει το χρονικό διάστημα που είχε ένας εισβολέας για να εξερευνήσει συστήματα ή να αποσπάσει δεδομένα.
  • Αβεβαιότητα πεδίου εφαρμογής:Η εταιρεία δεν διευκρίνισε δημόσια πόσοι χρήστες επηρεάστηκαν, τι περιλαμβάνουν τα «εσωτερικά μεταδεδομένα» ή αν εκτέθηκε κάποια κατάσταση λογαριασμού (όπως ιστορικό σύνδεσης, δακτυλικά αποτυπώματα συσκευής ή λίστες συνδρομητών).

Αυτά τα άγνωστα στοιχεία δεν σημαίνουν αυτόματα το χειρότερο. Σημαίνουν όμως ότι οι χρήστες θα πρέπει να υποθέσουν ότι το email και ο αριθμός τηλεφώνου τους μπορεί να βρίσκονται στα χέρια κάποιου που είναι πρόθυμος να τους εκμεταλλευτεί — και ότι οι διαδικτυακοί τους λογαριασμοί που χρησιμοποιούν αυτά τα αναγνωριστικά ενδέχεται να δουν μια αύξηση στις στοχευμένες απάτες.

Γιατί το email + το τηλέφωνο αποτελούν διαρροή υψηλής αξίας ακόμη και χωρίς κωδικούς πρόσβασης

Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι αριθμοί τηλεφώνου είναι ειδικοί επειδή χρησιμοποιούνται για τρεις κρίσιμες εργασίες:

  • Ταυτότητα:είναι η λαβή που χρησιμοποιούν πολλές υπηρεσίες ως όνομα χρήστη σας.
  • Ανάκτηση:είναι τα κανάλια που χρησιμοποιούνται για την επαναφορά κωδικών πρόσβασης.
  • Εκταση:είναι ο τρόπος με τον οποίο οι απατεώνες μπορούν να επικοινωνήσουν μαζί σας φθηνά σε μεγάλη κλίμακα (email) ή με μεγάλη επείγουσα ανάγκη και αξιοπιστία (SMS/τηλέφωνο).

Μόλις ένας εισβολέας αποκτήσει το email και το τηλέφωνό σας, μπορεί να κάνει περισσότερα από το να στέλνει γενικά ανεπιθύμητα μηνύματα. Μπορούν να προσαρμόσουν μηνύματα που αναφέρονται στην παραβιασμένη υπηρεσία, να δημιουργήσουν πίεση ("ο λογαριασμός σας θα ανασταλεί") και να σας οδηγήσουν σε μια ψεύτικη σελίδα σύνδεσης ή σε μια ψεύτικη ροή "επαλήθευσης του τηλεφώνου σας". Ο στόχος δεν είναι απαραίτητα να παραβιάσετε το Substack. είναι να παραβιάσετε οτιδήποτε άλλο χρησιμοποιείτε που μοιράζεται τα ίδια στοιχεία επικοινωνίας.

Αυτός είναι ο λόγος για τον οποίο οργανισμοί όπως η CISA δίνουν έμφαση στον σκεπτικισμό απέναντι στα ανεπιθύμητα μηνύματα, ειδικά σε εκείνα που επιχειρούν να δημιουργήσουν επείγοντα περιστατικά, ζητούν προσωπικά στοιχεία ή σας ωθούν να κάνετε κλικ σε έναν σύνδεσμο. Το ηλεκτρονικό ψάρεμα (phishing) και η παραλλαγή του μέσω SMS ("smishing") είναι συχνά ο φθηνότερος τρόπος για έναν εισβολέα να μετατρέψει τα διαρροή πληροφοριών επικοινωνίας σε χρήματα ή πρόσβαση.

Οι πρακτικοί κίνδυνοι για τους χρήστες του Substack

Ακολουθούν οι πιο πιθανές επακόλουθες απειλές μετά από μια διαρροή στοιχείων επικοινωνίας και πώς εμφανίζονται στην πραγματική ζωή.

1) Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που μοιάζουν με Substack

Να περιμένετε email που ισχυρίζονται ότι πρέπει να «επιβεβαιώσετε τον κωδικό πρόσβασής σας», να «επαληθεύσετε ξανά τα στοιχεία πληρωμής σας» ή να «αποφύγετε την απώλεια πρόσβασης». Μπορεί να περιλαμβάνουν λογότυπα που μοιάζουν με επίσημα και εύλογα ονόματα αποστολέων. Το κόλπο βρίσκεται συνήθως στον τομέα (μια παρόμοια διεύθυνση URL) ή σε έναν σύνδεσμο που οδηγεί κάπου αλλού εκτός απόsubstack.com.

Τι το κάνει χειρότερο: εάν οι εισβολείς έχουν επίσης «εσωτερικά μεταδεδομένα», μπορεί να γνωρίζουν αν είστε συγγραφέας ή αναγνώστης ή σε ποια ενημερωτικά δελτία είστε συνδρομητές και μπορούν να κάνουν τα μηνύματα πιο πειστικά.

2) Σμίςινγκ και βίσινγκ (μηνύματα και κλήσεις)

Οι διαρροές αριθμών τηλεφώνου προκαλούν ένα διαφορετικό είδος απάτης: σύντομα, επείγοντα μηνύματα και κλήσεις που εκμεταλλεύονται το γεγονός ότι οι άνθρωποι τείνουν να εμπιστεύονται τις τηλεφωνικές επικοινωνίες περισσότερο από τα email. Η CISA σημειώνει ότι οι εισβολείς μπορούν να συνδυάσουν φωνή και κείμενο («vishing» και «smishing») με πλαστογραφημένη αναγνώριση καλούντος, ωθώντας τα θύματα να αποκαλύψουν ευαίσθητες πληροφορίες ή να εγκαταστήσουν λογισμικό «υποστήριξης».

Ένας τυπικός χρήστης θα μπορούσε να πει: «Substack Security: εντοπίστηκε ασυνήθιστη σύνδεση. Απαντήστε ΝΑΙ για να κλειδώσετε τον λογαριασμό σας». Εάν απαντήσετε, έχετε επιβεβαιώσει ότι ο αριθμός είναι ενεργός — και είστε αφοσιωμένοι.

3) Προσπάθειες κατάληψης λογαριασμού μέσω επαναφοράς κωδικού πρόσβασης αλλού

Αν επαναχρησιμοποιείτε κωδικούς πρόσβασης (ή χρησιμοποιείτε αδύναμους), τα στοιχεία επικοινωνίας γίνονται μια διέξοδος. Ακόμα κι αν ο κωδικός πρόσβασής σας δεν διαρρεύσει από το Substack, ένας εισβολέας μπορεί να επιχειρήσει επαναφορά κωδικού πρόσβασης σε άλλους ιστότοπους που χρησιμοποιούν το email ή τον αριθμό τηλεφώνου σας. Δεν χρειάζονται τον παλιό κωδικό πρόσβασης εάν μπορούν να σας πείσουν να δώσετε έναν κωδικό ή εάν μπορούν να θέσουν σε κίνδυνο τον λογαριασμό email σας.

Αυτός είναι ο λόγος για τον οποίο τα «πραγματικά κοσμήματα του στέμματος» είναι συνήθως τα εισερχόμενα του email σας και ο αριθμός του κινητού σας: ελέγξτε οποιοδήποτε από αυτά και ένας εισβολέας μπορεί συχνά να στραφεί σε πολλούς άλλους λογαριασμούς.

4) Απόπειρες ανταλλαγής SIM / απάτης με θύρα αριθμού

Η ανταλλαγή SIM δεν είναι κάτι καινούργιο, αλλά ένα σύνολο δεδομένων που συνδέει τους αριθμούς τηλεφώνου με μια συγκεκριμένη διαδικτυακή υπηρεσία μπορεί να βοηθήσει τους εισβολείς να επιλέξουν στόχους. Πολλοί πάροχοι κινητής τηλεφωνίας έχουν βελτιώσει την άμυνα, αλλά η κοινωνική μηχανική παραμένει ένας κίνδυνος, ειδικά εάν ένας εισβολέας μπορεί να συλλέξει επιπλέον πληροφορίες από άλλες πηγές.

Αν βασίζεστε σε SMS για έλεγχο ταυτότητας δύο παραγόντων (2FA) σε σημαντικούς λογαριασμούς, η αλλαγή κάρτας SIM είναι ένα από τα πιο τρομακτικά αποτελέσματα. Αυτός δεν είναι λόγος για πανικό — είναι ένας λόγος για να μειώσετε την εξάρτηση από τα SMS για κρίσιμες συνδέσεις όπου έχετε καλύτερες επιλογές.

Τι πρέπει να κάνετε τώρα (μεγαλύτερη επίδραση πρώτα)

Η ειδοποίηση του Substack ενθαρρύνει την επιπλέον προσοχή σχετικά με ύποπτα email ή μηνύματα κειμένου. Αυτή είναι μια καλή συμβουλή, αλλά είναι αόριστη. Ακολουθεί μια πιο συγκεκριμένη, ιεραρχημένη λίστα ελέγχου που οι περισσότεροι άνθρωποι μπορούν να εκτελέσουν σε 15-30 λεπτά.

1) Κλειδώστε τον κύριο λογαριασμό email σας

Τα εισερχόμενα του email σας είναι το κύριο κλειδί για την επαναφορά κωδικού πρόσβασης. Αν κάνετε μόνο ένα πράγμα, κάντε το εξής:

  • Ανάβωέλεγχος ταυτότητας δύο παραγόντωνγια τον πάροχο email σας (προτιμήστε μια εφαρμογή ελέγχου ταυτότητας ή ένα κλειδί υλικού).
  • Κριτικήεπιλογές ανάκτησης λογαριασμού(αντίγραφο email/τηλέφωνο) και αφαιρέστε οτιδήποτε δεν ελέγχετε.
  • Αλλάξτε τον κωδικό πρόσβασης του email σας εάν τον χρησιμοποιείτε ξανά οπουδήποτε αλλού.

Αν είστε συγγραφέας που χρησιμοποιεί το Substack επαγγελματικά, φερθείτε στην ασφάλεια του email σας όπως φερθείτε στην τράπεζά σας: είναι υποδομή.

2) Αλλάξτε τον κωδικό πρόσβασής σας στο Substack (και σταματήστε να επαναχρησιμοποιείτε κωδικούς πρόσβασης)

Ακόμα κι αν το Substack λέει ότι δεν έγινε πρόσβαση σε κωδικούς πρόσβασης, η αλλαγή του κωδικού πρόσβασής σας είναι μια φθηνή λύση — ειδικά αν έχετε χρησιμοποιήσει τον ίδιο κωδικό πρόσβασης σε άλλους ιστότοπους. Χρησιμοποιήστε έναν μοναδικό, μακρύ κωδικό πρόσβασης που δημιουργείται από έναν διαχειριστή κωδικών πρόσβασης.

Εάν το Substack υποστηρίζει κλειδιά πρόσβασης ή ισχυρότερες επιλογές σύνδεσης, σκεφτείτε να τις ενεργοποιήσετε. Ο μακροπρόθεσμος στόχος είναι να μειωθεί η αποτελεσματικότητα του ηλεκτρονικού "ψαρέματος" (phishing), μειώνοντας την εξάρτηση από τα κοινόχρηστα μυστικά που μπορείτε να πληκτρολογήσετε σε έναν ψεύτικο ιστότοπο.

3) Ενεργοποιήστε ισχυρότερο 2FA όπου έχει μεγαλύτερη σημασία

Στους πιο σημαντικούς λογαριασμούς σας (email, τραπεζικές συναλλαγές, αποθήκευση στο cloud, λογαριασμούς κοινωνικής δικτύωσης που μπορούν να χρησιμοποιηθούν για απάτες), προτιμήστε:

  • Εφαρμογή ελέγχου ταυτότητας (TOTP) μέσω SMS
  • Κλειδιά ασφαλείας υλικού (καλύτερα, όταν είναι διαθέσιμα)
  • Κλειδιά πρόσβασης (ολοένα και πιο ισχυρά κατά του ηλεκτρονικού "ψαρέματος" (phishing), ανάλογα με την εφαρμογή)

Το 2FA που βασίζεται σε SMS είναι καλύτερο από το τίποτα, αλλά είναι ευάλωτο σε επιθέσεις μεταφοράς αριθμών και στοχευμένη κοινωνική μηχανική. Εάν είστε δημιουργός που απευθύνεται στο κοινό, αξίζει να το αναβαθμίσετε.

4) Προσαρμόστε το φίλτρο ανεπιθύμητης αλληλογραφίας σας για μερικές εβδομάδες

Μετά από μια αποκάλυψη παραβίασης, οι επιτιθέμενοι συχνά επιτίθενται όσο η ιστορία είναι πρόσφατη. Για τον επόμενο μήνα περίπου:

  • Να είστε επιφυλακτικοί απέναντι σε μηνύματα που αναφέρουν το Substack, ενημερωτικά δελτία, «επαλήθευση» ή «ασφάλεια».
  • Μην κάνετε κλικ σε συνδέσμους σύνδεσης από email/μηνύματα κειμένου. Αντ' αυτού, πληκτρολογήστε μόνοι σας τον τομέα ή χρησιμοποιήστε έναν σελιδοδείκτη.
  • Να είστε επιφυλακτικοί με επείγοντα αιτήματα για κωδικούς μιας χρήσης. Καμία νόμιμη εταιρεία υποστήριξης δεν θα πρέπει να ζητά τους κωδικούς 2FA σας.

Οι οδηγίες της CISA είναι σαφείς για έναν λόγο: ο ευκολότερος τρόπος για να αποφύγετε το ηλεκτρονικό ψάρεμα (phishing) είναι να υποθέσετε ότι οποιοδήποτε ανεπιθύμητο αίτημα θα μπορούσε να είναι εχθρικό μέχρι να το επαληθεύσετε ανεξάρτητα.

5) Εάν είστε συγγραφέας Substack: λάβετε υπόψη τον κίνδυνο που αντιμετωπίζετε με το κοινό σας

Οι δημιουργοί αντιμετωπίζουν μια επιπλέον απειλή: την πλαστοπροσωπία. Εάν οι εισβολείς μπορέσουν να πλαστογραφήσουν πειστικά την ταυτότητά σας που σχετίζεται με το Substack, ενδέχεται να στοχεύσουν τους συνδρομητές σας με «ειδικές προσφορές», απάτες κρυπτονομισμάτων ή ψεύτικους συνδέσμους συγκέντρωσης χρημάτων.

Σκεφτείτε το ενδεχόμενο να στείλετε μια σύντομη σημείωση στους συνδρομητές σας: δεν θα ζητήσετε ποτέ κωδικούς πρόσβασης, κωδικούς μιας χρήσης ή στοιχεία πληρωμής μέσω email.

Πώς μοιάζει μια καλή απάντηση από μια εταιρεία (πέρα από μια συγγνώμη)

Το μήνυμα του Substack περιλαμβάνει μια διόρθωση και μια έρευνα. Αυτό είναι απαραίτητο, αλλά οι καλύτερες αντιδράσεις σε περίπτωση παραβίασης είναι επίσηςειδικόςΟι οδηγίες της FTC για τις επιχειρήσεις δίνουν έμφαση στην ασφάλεια των λειτουργιών, στην επιδιόρθωση τρωτών σημείων και στην σαφή επικοινωνία χωρίς παραπλανητικές παραλείψεις. Από την άποψη των καταναλωτών, «σαφής» σημαίνει:

  • Ακριβώς σε ποια πεδία δεδομένων έγινε πρόσβαση (email, τηλέφωνο, όνομα, διεύθυνση, αρχεία καταγραφής IP, λίστες συνδρομητών, DM κ.λπ.)
  • Πόσοι λογαριασμοί επηρεάστηκαν, ακόμη και ως εύρος
  • Τι μπορούν να κάνουν οι χρήστες που μειώνει σημαντικά τον κίνδυνο (2FA, διαχείριση κωδικών πρόσβασης, προσέξτε για smishing)
  • Πώς συνέβη το περιστατικό σε υψηλό επίπεδο (π.χ., εκτεθειμένα διαπιστευτήρια, ευάλωτο τελικό σημείο, λανθασμένη διαμόρφωση) μόλις είναι ασφαλές να αποκαλυφθεί
  • Ποιες ενδείξεις παραβίασης υπάρχουν (υπήρξαν ύποπτες συνδέσεις; μπορούν οι χρήστες να δουν τις πρόσφατες συνεδρίες;)

Οι εταιρείες μερικές φορές αποφεύγουν τις λεπτομέρειες επειδή δεν θέλουν να βοηθήσουν τους αντιγραφείς ή επειδή οι έρευνες βρίσκονται σε εξέλιξη. Αλλά η απόκρυψη πολλών λεπτομερειών αφήνει τους χρήστες να μαντεύουν — και η μαντεία τείνει να προκαλεί είτε πανικό είτε εφησυχασμό.

Γιατί τα «εσωτερικά μεταδεδομένα» έχουν μεγαλύτερη σημασία από ό,τι ακούγεται

Σε πολλές παραβιάσεις, οι πιο επιζήμιες πληροφορίες δεν είναι τα προφανή πεδία. Τα «εσωτερικά μεταδεδομένα» μπορεί να είναι πράγματα όπως:

  • Ημερομηνία δημιουργίας λογαριασμού και ώρα τελευταίας σύνδεσης
  • Εάν ένα email έχει επαληθευτεί
  • Ιδιοκτησία ενημερωτικού δελτίου ή αριθμός συνδρομητών
  • Κατάσταση επαλήθευσης τηλεφώνου
  • Ιστορικό αιτημάτων υποστήριξης

Κάθε ένα από αυτά βοηθά έναν εισβολέα να δημιουργήσει ένα μήνυμα που να μοιάζει πραγματικό. Εάν ένα κείμενο αναφέρει «Ο λογαριασμός σας Substack που δημιουργήθηκε το 2021 χρειάζεται εκ νέου επαλήθευση» και αυτό ισχύει, ο στόχος είναι πιο πιθανό να συμμορφωθεί. Γι' αυτό η διαφάνεια σχετικά με τα μεταδεδομένα που αποκαλύφθηκαν δεν είναι μια λεπτομέρεια του σπασίκλα — συνδέεται άμεσα με το πόσο πειστικό θα είναι το επόμενο κύμα απάτης.

Τι δεν πρέπει να κάνετε

Τρία συνηθισμένα λάθη μετά από μια αποκάλυψη παραβίασης:

  • Μην απαντάτε σε τυχαία μηνύματα «ασφαλείας». Επικυρώνετε τον αριθμό σας και προσκαλείτε περισσότερες επαφές.
  • Μην εγκαθιστάτε εφαρμογές «υποστήριξης» επειδή κάποιος σας κάλεσε. Εάν χρειάζεστε βοήθεια, ξεκινήστε την επικοινωνία μέσω επίσημων καναλιών που αναζητάτε μόνοι σας.
  • Μην υποθέτετε ότι είστε ασφαλείς επειδή δεν λάβατε email. Οι ειδοποιήσεις μπορεί να είναι σταδιακές, ελλιπείς ή περιορισμένες από τα στοιχεία επικοινωνίας που υπάρχουν στο αρχείο. Αντιμετωπίστε αυτό ως ένα γενικό προειδοποιητικό σημάδι και όχι ως μια προσωπική ένδειξη ότι όλα είναι καλά.

Το μεγαλύτερο μάθημα: τα δεδομένα επικοινωνίας είναι πλέον «ευαίσθητα» δεδομένα

Έχουμε την τάση να κατατάσσουμε τα δεδομένα με βάση το αν μπορούν να εξαντλήσουν άμεσα έναν τραπεζικό λογαριασμό. Αλλά η σύγχρονη οικονομία της απάτης συχνά λειτουργεί έμμεσα: διαρροές αναγνωριστικών, διαπιστευτήρια ηλεκτρονικού "ψαρέματος" (phishing), υποκλοπή email, επαναφορά άλλων λογαριασμών, δημιουργία εσόδων από την πρόσβαση. Οι διευθύνσεις email και οι αριθμοί τηλεφώνου είναι το πρώτο σκαλί αυτής της κλίμακας.

Για τις πλατφόρμες, αυτό σημαίνει ότι η προστασία των δεδομένων επαφών απαιτεί την ίδια σοβαρότητα με την προστασία των κωδικών πρόσβασης — όχι επειδή τα πεδία είναι ισοδύναμα, αλλά επειδή οι εισβολείς μπορούν να τα μετατρέψουν σε μόχλευση.

Για τους χρήστες, αποτελεί μια υπενθύμιση ότι η καλύτερη άμυνα δεν είναι η τέλεια μυστικότητα (συμβαίνουν παραβιάσεις), αλλά η ανθεκτικότητα: μοναδικοί κωδικοί πρόσβασης, ισχυρός έλεγχος ταυτότητας (2FA) και συνήθειες που καθιστούν το ηλεκτρονικό ψάρεμα (phishing) ασύμφορο.

Συμπέρασμα

Μια διαρροή email και αριθμών τηλεφώνου μπορεί να ακούγεται «περιορισμένη», αλλά μπορεί να αυξήσει σημαντικά την έκθεσή σας σε στοχευμένο ηλεκτρονικό ψάρεμα (phishing), κακόβουλες επιθέσεις (smishing) και απόπειρες κατάληψης λογαριασμού αλλού. Αντιμετωπίστε την ειδοποίηση του Substack ως μια προτροπή για την ενίσχυση των δύο συστημάτων που έχουν μεγαλύτερη σημασία: του λογαριασμού email σας και της υγιεινής σύνδεσής σας.

Και αν δείτε μια ξαφνική αύξηση στα μηνύματα "Substack security", υποθέστε ότι το περιστατικό έχει δημιουργήσει ένα νέο κύμα απάτης — και μην κάνετε πρώτα κλικ, επαληθεύστε πρώτα.

Πηγές

Document Title
Substack data breach: why email-and-phone leaks matter (and what to do next)
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
Page Content
Substack data breach: why email-and-phone leaks matter (and what to do next)
Nature
Climate
/
General
/ By
Admin
When a company says “only emails and phone numbers were exposed,” it’s easy to shrug. No passwords, no credit cards — so what’s the harm?
In reality, email addresses and phone numbers are two of the most powerful
join keys
in the modern internet. They’re the identifiers that let attackers connect your presence across services, target you with convincing phishing and smishing, and in some cases attempt account takeovers through password resets or SIM swap–style social engineering. A leak of contact info isn’t the same as a leak of bank details, but it can be the first domino that makes other attacks cheaper and more likely to succeed.
This week, Substack began notifying some account holders that a security incident allowed an unauthorized party to access limited user data — including email addresses and phone numbers — with Substack saying the access occurred in October 2025 and was discovered and investigated in early February 2026. Substack’s CEO apologized and said that passwords and financial information were not accessed.
Let’s unpack what “limited user data” can still enable, what users should do (in order of impact), and what a good platform response looks like when the leaked fields are “just” contact details.
What Substack says happened (and what’s still unknown)
According to Substack’s notification message shared publicly and reported by
The Verge
, the company identified evidence of an issue that allowed an unauthorized third party to access limited user data without permission, including email addresses, phone numbers, and internal metadata. Substack says it fixed the problem and is conducting a full investigation, and that credit card numbers, passwords, and financial information were not accessed.
Two parts of that statement matter for understanding risk:
Timing:
access occurred months earlier (October 2025) but was identified later. That gap can affect how long an attacker had to explore systems or exfiltrate data.
Scope uncertainty:
the company did not publicly specify how many users were affected, what “internal metadata” includes, or whether any account state (like login history, device fingerprints, or subscriber lists) was exposed.
Those unknowns don’t automatically mean the worst. But they do mean users should assume that their email and phone number may be in the hands of someone who is willing to exploit them — and that their online accounts that use those identifiers may see an uptick in targeted scams.
Why email + phone is a high-value leak even without passwords
Email addresses and phone numbers are special because they’re used for three critical jobs:
Identity:
they’re the handle many services use as your username.
Recovery:
they’re the channels used to reset passwords.
Reach:
they’re how scammers can contact you cheaply at scale (email) or with high urgency and credibility (SMS/phone).
Once an attacker has your email and phone, they can do more than send generic spam. They can tailor messages that reference the breached service, create pressure (“your account will be suspended”), and funnel you into a fake login page or a fake “verify your phone” flow. The goal isn’t necessarily to break into Substack; it’s to break into whatever else you use that shares the same contact info.
This is why agencies like CISA emphasize skepticism toward unsolicited messages, especially those that attempt to create urgency, request personal information, or push you to click a link. Phishing and its SMS variant (“smishing”) are often the cheapest way for an attacker to turn leaked contact info into money or access.
The practical risks for Substack users
Here are the most likely follow-on threats after a contact-info leak, and how they show up in real life.
1) Phishing emails that look like Substack
Expect emails that claim you need to “confirm your password,” “re-verify your payout details,” or “avoid losing access.” They may include official-looking logos and plausible sender names. The trick is usually in the domain (a lookalike URL) or in a link that goes somewhere other than
substack.com
.
What makes this worse: if attackers also have “internal metadata,” they may know whether you’re a writer vs. a reader, or what newsletters you subscribe to, and can make messages more convincing.
2) Smishing and vishing (texts and calls)
Leaked phone numbers invite a different style of scam: short, urgent texts and calls that exploit the fact that people tend to trust phone communications more than email. CISA notes that attackers can combine voice and text (“vishing” and “smishing”) with spoofed caller ID, pushing victims to disclose sensitive information or install “support” software.
A typical smish might say: “Substack Security: unusual login detected. Reply YES to lock your account.” If you reply, you’ve confirmed the number is active — and you’re engaged.
3) Account takeover attempts via password reset elsewhere
If you reuse passwords (or use weak ones), contact info becomes a way in. Even if your password wasn’t leaked from Substack, an attacker can attempt password resets on other sites that use your email or phone number. They don’t need the old password if they can convince you to hand over a code, or if they can compromise your email account.
This is why the “real crown jewels” are usually your email inbox and your mobile number: control either of those, and an attacker can often pivot into many other accounts.
4) SIM swap / number-port fraud attempts
SIM swapping isn’t new, but a dataset that ties phone numbers to a specific online service can help attackers pick targets. Many mobile carriers have improved defenses, but social engineering remains a risk, especially if an attacker can gather additional context from other sources.
If you rely on SMS for two-factor authentication (2FA) on important accounts, a SIM swap is one of the scariest outcomes. That’s not a reason to panic — it’s a reason to reduce dependence on SMS for critical logins where you have better options.
What you should do now (highest impact first)
Substack’s notification encourages extra caution around suspicious emails or texts. That’s good advice, but it’s vague. Here’s a more concrete, prioritized checklist that most people can execute in 15–30 minutes.
1) Lock down your primary email account
Your email inbox is the master key for password resets. If you do only one thing, do this:
Turn on
two-factor authentication
for your email provider (prefer an authenticator app or hardware key).
Review
account recovery options
(backup email/phone) and remove anything you don’t control.
Change your email password if it’s reused anywhere else.
If you’re a writer who uses Substack professionally, treat your email security like you treat your bank: it’s infrastructure.
2) Change your Substack password (and stop reusing passwords)
Even if Substack says passwords weren’t accessed, changing your password is cheap insurance — especially if you’ve used the same password on other sites. Use a unique, long password generated by a password manager.
If Substack supports passkeys or stronger login options, consider enabling them. The long-term goal is to make phishing less effective by reducing reliance on shared secrets you can type into a fake website.
3) Enable stronger 2FA where it matters most
On your most important accounts (email, banking, cloud storage, social media handles that can be used for scams), prefer:
Authenticator app (TOTP) over SMS
Hardware security keys (best, when available)
Passkeys (increasingly strong against phishing, depending on implementation)
SMS-based 2FA is better than nothing, but it’s vulnerable to number-port attacks and targeted social engineering. If you’re a public-facing creator, it’s worth upgrading.
4) Adjust your mental spam filter for a few weeks
After a breach disclosure, attackers often strike while the story is fresh. For the next month or so:
Be skeptical of messages that mention Substack, newsletters, “verification,” or “security.”
Don’t click login links from emails/texts. Instead, type the domain yourself or use a bookmark.
Be wary of urgent requests for one-time codes. No legitimate company support should ask for your 2FA codes.
CISA’s guidance is blunt for a reason: the easiest way to avoid being phished is to assume any unsolicited request could be hostile until you independently verify it.
5) If you’re a Substack writer: consider your audience-facing risk
Creators have an extra threat: impersonation. If attackers can convincingly spoof your Substack-related identity, they may target your subscribers with “special offers,” crypto scams, or fake fundraising links.
Consider posting a short note to your subscribers: you will never ask for passwords, one-time codes, or payment details over email.
What a good company response looks like (beyond an apology)
Substack’s message includes a fix and an investigation. That’s necessary, but the best breach responses are also
specific
. The FTC’s guidance for businesses emphasizes securing operations, fixing vulnerabilities, and communicating clearly without misleading omissions. In consumer terms, “clear” means:
Exactly what data fields were accessed (email, phone, name, address, IP logs, subscriber lists, DMs, etc.)
How many accounts were affected, even as a range
What users can do that meaningfully reduces risk (2FA, password manager, watch for smishing)
How the incident happened at a high level (e.g., exposed credential, vulnerable endpoint, misconfiguration) once it’s safe to disclose
What indicators of compromise exist (were there suspicious logins? can users view recent sessions?)
Companies sometimes avoid details because they don’t want to aid copycat attackers or because investigations are ongoing. But withholding too much leaves users guessing — and guessing tends to produce either panic or complacency.
Why “internal metadata” matters more than it sounds
In many breaches, the most damaging information isn’t the obvious fields. “Internal metadata” can be things like:
Account creation date and last login time
Whether an email is verified
Newsletter ownership or subscriber counts
Phone verification status
Support ticket history
Each of these helps an attacker craft a message that feels real. If a text says “Your Substack account created in 2021 needs re-verification,” and that’s true, the target is more likely to comply. That’s why transparency about what metadata was exposed is not a nerdy detail — it’s directly tied to how convincing the next wave of scams will be.
What you should not do
Three common mistakes after a breach disclosure:
Don’t reply to random “security” texts. You’re validating your number and inviting more contact.
Don’t install “support” apps because someone called you. If you need help, initiate contact through official channels you look up yourself.
Don’t assume you’re safe because you didn’t get an email. Notifications can be staged, incomplete, or limited by contact details on file. Treat this as a general warning sign, not a personal all-clear.
The bigger lesson: contact data is now “sensitive” data
We tend to rank data by whether it can directly drain a bank account. But the modern scam economy often works indirectly: leak identifiers, phish credentials, take over an email, reset other accounts, monetize access. Email addresses and phone numbers are the first rung of that ladder.
For platforms, this means that protecting contact data requires the same seriousness as protecting passwords — not because the fields are equivalent, but because attackers can turn them into leverage.
For users, it’s a reminder that the best defense isn’t perfect secrecy (breaches happen), it’s resilience: unique passwords, strong 2FA, and habits that make phishing unprofitable.
Bottom line
A leak of emails and phone numbers may sound “limited,” but it can still meaningfully increase your exposure to targeted phishing, smishing, and account takeover attempts elsewhere. Treat Substack’s notice as a prompt to harden the two systems that matter most: your email account and your login hygiene.
And if you see a sudden spike in “Substack security” messages, assume the incident has created a new scam wave — and don’t click first, verify first.
Sources
https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
https://lorichristian.substack.com/p/notice-of-data-breach
https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
Ελληνικά