Duomenų nutekėjimas „Substack“ sistemoje: kodėl el. pašto ir telefono pranešimų nutekėjimas yra svarbus (ir ką daryti toliau)

/Bendra/ Autorius

Kai įmonė teigia, kad „buvo paviešinti tik el. pašto adresai ir telefono numeriai“, lengva gūžtelėti pečiais. Jokių slaptažodžių, jokių kreditinių kortelių – tai kokia čia žala?

Iš tikrųjų el. pašto adresai ir telefono numeriai yra du galingiausiprisijungimo raktaišiuolaikiniame internete. Tai identifikatoriai, leidžiantys užpuolikams susieti jūsų buvimą skirtingose ​​paslaugose, taikytis į jus įtikinamai sukčiavimo būdu ir neteisėtai atakuojant, o kai kuriais atvejais bandyti perimti paskyrą iš naujo nustatant slaptažodį arba keičiant SIM kortelę – socialinės inžinerijos būdu. Kontaktinės informacijos nutekėjimas nėra tas pats, kas banko duomenų nutekėjimas, tačiau tai gali būti pirmasis domino elementas, dėl kurio kitos atakos tampa pigesnės ir labiau tikėtina, kad jos bus sėkmingos.

Šią savaitę „Substack“ pradėjo informuoti kai kuriuos sąskaitų savininkus, kad dėl saugumo incidento neįgaliota šalis galėjo pasiekti ribotus vartotojų duomenis, įskaitant el. pašto adresus ir telefono numerius. „Substack“ teigė, kad prieiga įvyko 2025 m. spalį ir buvo aptikta bei ištirta 2026 m. vasario pradžioje. „Substack“ generalinis direktorius atsiprašė ir teigė, kad prieiga prie slaptažodžių ir finansinės informacijos nebuvo atlikta.

Išsiaiškinkime, ką vis dar gali įgalinti „riboti naudotojų duomenys“, ką naudotojai turėtų daryti (poveikio tvarka) ir koks turėtų būti geras platformos atsakas, kai nutekėję laukai tėra „tik“ kontaktinė informacija.

Ką, pasak „Substack“, įvyko (ir kas vis dar nežinoma)

Remiantis „Substack“ pranešimu, kuris buvo viešai paskelbtas ir apie kurį pranešė„The Verge“bendrovė aptiko įrodymų, kad problema leido neteisėtai trečiajai šaliai be leidimo pasiekti ribotus naudotojų duomenis, įskaitant el. pašto adresus, telefono numerius ir vidinius metaduomenis. „Substack“ teigia, kad problemą išsprendė ir atlieka išsamų tyrimą, o prie kredito kortelių numerių, slaptažodžių ir finansinės informacijos nebuvo prieita.

Dvi šio teiginio dalys yra svarbios norint suprasti riziką:

  • Laikas:Prieiga įvyko keliais mėnesiais anksčiau (2025 m. spalio mėn.), bet buvo nustatyta vėliau. Šis spraga gali turėti įtakos tam, kiek laiko užpuolikas turėjo sistemų tyrinėjimui ar duomenų išgavimui.
  • Taikymo srities neapibrėžtumas:Bendrovė viešai nenurodė, kiek vartotojų buvo paveikta, kokie „vidiniai metaduomenys“ apima arba ar buvo atskleista kokia nors paskyros būsena (pvz., prisijungimo istorija, įrenginio pirštų atspaudai ar prenumeratorių sąrašai).

Tie nežinomieji nebūtinai reiškia blogiausią. Tačiau jie reiškia, kad vartotojai turėtų manyti, jog jų el. pašto adresas ir telefono numeris gali būti asmens, norinčio juos išnaudoti, rankose ir kad jų internetinėse paskyrose, kuriose naudojami šie identifikatoriai, gali padaugėti tikslinių sukčiavimo atvejų.

Kodėl el. paštas ir telefonas yra didelės vertės informacijos nutekėjimas net ir be slaptažodžių

El. pašto adresai ir telefono numeriai yra ypatingi, nes jie naudojami trims svarbiems darbams:

  • Tapatybė:Tai yra vartotojo vardas, kurį daugelis paslaugų naudoja kaip jūsų vartotojo vardą.
  • Atsigavimas:Tai kanalai, naudojami slaptažodžiams iš naujo nustatyti.
  • Pasiekiamumas:tai yra būdas, kaip sukčiai gali su jumis susisiekti pigiai dideliu kiekiu (el. paštu) arba labai skubiai ir patikimai (SMS / telefonu).

Kai užpuolikas gauna jūsų el. pašto adresą ir telefono numerį, jis gali ne tik siųsti bendro pobūdžio šlamštą. Jis gali pritaikyti pranešimus, kuriuose nurodoma pažeista paslauga, daryti spaudimą („jūsų paskyra bus sustabdyta“) ir nukreipti jus į netikrą prisijungimo puslapį arba netikrą „patvirtinkite savo telefono numerį“ srautą. Tikslas nebūtinai yra įsilaužti į „Substack“; tikslas – įsilaužti į bet ką kitą, kurį naudojate ir kuriame naudojama ta pati kontaktinė informacija.

Štai kodėl tokios agentūros kaip CISA pabrėžia skepticizmą nepageidaujamų žinučių atžvilgiu, ypač tų, kuriomis bandoma sukelti skubumą, prašoma asmeninės informacijos arba verčiama spustelėti nuorodą. Sukčiavimas apsimetant ir jo SMS atmaina („smishing“) dažnai yra pigiausias būdas užpuolikui nutekintą kontaktinę informaciją paversti pinigais arba prieiga prie duomenų.

Praktinė rizika „Substack“ naudotojams

Čia pateikiamos labiausiai tikėtinos tolesnės grėsmės po kontaktinės informacijos nutekėjimo ir kaip jos pasireiškia realiame gyvenime.

1) Sukčiavimo el. laiškai, kurie atrodo kaip „Substack“

Tikėkitės el. laiškų, kuriuose teigiama, kad reikia „patvirtinti slaptažodį“, „iš naujo patikrinti išmokėjimo informaciją“ arba „išvengti prieigos praradimo“. Juose gali būti oficialiai atrodantys logotipai ir tikėtini siuntėjų vardai. Paprastai gudrybė slypi domene (panašus URL) arba nuorodoje, kuri veda kažkur kitur, o ne...substack.com.

Dar blogiau: jei užpuolikai taip pat turi „vidinius metaduomenis“, jie gali žinoti, ar esate rašytojas, ar skaitytojas, arba kokius naujienlaiškius prenumeruojate, ir gali padaryti žinutes įtikinamesnes.

2) Šnypštimas ir žvilgsnis (žinutės ir skambučiai)

Nutekinti telefono numeriai skatina kitokio tipo sukčiavimą: trumpas, skubias žinutes ir skambučius, kuriais pasinaudojama tuo, kad žmonės labiau pasitiki telefono skambučiais nei el. paštu. CISA pažymi, kad užpuolikai gali derinti balso ir teksto pranešimus („vishing“ ir „smishing“) su suklastotu skambintojo ID, taip skatindami aukas atskleisti neskelbtiną informaciją arba įdiegti „palaikymo“ programinę įrangą.

Įprastas žinutės tekstas gali būti toks: „Substack Security: aptiktas neįprastas prisijungimas. Atsakykite TAIP, kad užblokuotumėte paskyrą.“ Jei atsakote, patvirtinate, kad numeris aktyvus ir esate užimtas.

3) Bandymai perimti paskyrą iš naujo nustatant slaptažodį kitur

Jei pakartotinai naudojate slaptažodžius (arba naudojate silpnus), kontaktinė informacija tampa prieiga prie informacijos. Net jei jūsų slaptažodis nebuvo nutekintas iš „Substack“, užpuolikas gali bandyti atkurti slaptažodį kitose svetainėse, kurios naudoja jūsų el. pašto adresą ar telefono numerį. Jiems nereikia seno slaptažodžio, jei jie gali įtikinti jus perduoti kodą arba jei jie gali pažeisti jūsų el. pašto paskyrą.

Štai kodėl „tikrieji karūnos brangakmeniai“ dažniausiai yra jūsų el. pašto dėžutė ir mobiliojo telefono numeris: kontroliuokite bet kurį iš jų, ir užpuolikas dažnai gali nukreipti savo duomenis į daugelį kitų paskyrų.

4) SIM kortelės keitimo / numerio prievado sukčiavimo bandymai

SIM kortelių keitimas nėra naujiena, tačiau duomenų rinkinys, susiejantis telefono numerius su konkrečia internetine paslauga, gali padėti užpuolikams pasirinkti taikinius. Daugelis mobiliojo ryšio operatorių patobulino apsaugą, tačiau socialinė inžinerija išlieka rizika, ypač jei užpuolikas gali surinkti papildomo konteksto iš kitų šaltinių.

Jei svarbiose paskyrose dviejų veiksnių autentifikavimui (2FA) naudojate SMS žinutes, SIM kortelės keitimas yra vienas iš baisiausių padarinių. Tai nėra priežastis panikuoti – tai priežastis sumažinti priklausomybę nuo SMS svarbiems prisijungimams, kur turite geresnių variantų.

Ką turėtumėte daryti dabar (pirmiausia tie, kurie daro didžiausią įtaką)

„Substack“ pranešimas ragina būti ypač atsargiems dėl įtartinų el. laiškų ar tekstinių žinučių. Tai geras patarimas, bet jis miglotas. Pateikiame konkretesnį, prioritetų sąrašą, kurį dauguma žmonių gali įvykdyti per 15–30 minučių.

1) Užblokuokite pagrindinę el. pašto paskyrą

Jūsų el. pašto dėžutė yra pagrindinis slaptažodžio atkūrimo raktas. Jei darote tik vieną dalyką, atlikite šiuos veiksmus:

  • Įjungtidviejų veiksnių autentifikavimasel. pašto paslaugų teikėjui (pageidautina autentifikavimo programėlė arba aparatinės įrangos raktas).
  • Apžvalgapaskyros atkūrimo parinktys(atsarginį el. pašto adresą / telefoną) ir pašalinkite viską, ko nekontroliuojate.
  • Pakeiskite el. pašto slaptažodį, jei jis pakartotinai naudojamas kur nors kitur.

Jei esate rašytojas, kuris profesionaliai naudoja „Substack“, elkitės su savo el. pašto saugumu taip, kaip elgiatės su savo banku: tai infrastruktūra.

2) Pakeiskite „Substack“ slaptažodį (ir nustokite pakartotinai naudoti slaptažodžius)

Net jei „Substack“ teigia, kad slaptažodžiai nebuvo pasiekti, slaptažodžio pakeitimas yra pigi apsauga, ypač jei tą patį slaptažodį naudojote kitose svetainėse. Naudokite unikalų, ilgą slaptažodį, sugeneruotą slaptažodžių tvarkyklės.

Jei „Substack“ palaiko slaptažodžius arba patikimesnes prisijungimo parinktis, apsvarstykite galimybę jas įjungti. Ilgalaikis tikslas – sumažinti sukčiavimo apsimetant veiksmingumą, sumažinant pasikliavimą bendrai naudojamomis paslaptimis, kurias galite įvesti į netikrą svetainę.

3) Įgalinkite stipresnį 2FA ten, kur to labiausiai reikia

Svarbiausiose paskyrose (el. pašto, bankininkystės, debesies saugyklos, socialinių tinklų slapyvardžiai, kurie gali būti naudojami sukčiavimui) pirmenybę teikite:

  • Autentifikavimo programėlė (TOTP) per SMS
  • Aparatinės įrangos saugos raktai (geriausia, jei yra)
  • Slaptažodžiai (vis labiau apsaugoti nuo sukčiavimo apsimetant, priklausomai nuo įdiegimo)

SMS žinutėmis pagrįstas 2FA yra geriau nei nieko, tačiau jis yra pažeidžiamas numerių prievadų atakų ir tikslinės socialinės inžinerijos. Jei esate viešai prieinamas kūrėjas, verta jį atnaujinti.

4) Kelias savaites pakoreguokite savo mentalinį šlamšto filtrą

Po informacijos apie pažeidimą atskleidimo užpuolikai dažnai puola, kol informacija dar šviežia. Per ateinantį mėnesį ar panašiai:

  • Skeptiškai vertinkite pranešimus, kuriuose minima „Substack“, naujienlaiškiai, „patvirtinimas“ arba „saugumas“.
  • Nespustelėkite prisijungimo nuorodų el. laiškuose / tekstinėse žinutėse. Verčiau įveskite domeną patys arba naudokite žymę.
  • Būkite atsargūs dėl skubių vienkartinių kodų prašymų. Jokia teisėta įmonės palaikymo tarnyba neturėtų prašyti jūsų 2FA kodų.

CISA rekomendacijos yra tiesmukas dėl priežasties: lengviausias būdas išvengti sukčiavimo apsimetant yra manyti, kad bet koks nepageidaujamas prašymas gali būti priešiškas, kol to nepatvirtinsite savarankiškai.

5) Jei esate „Substack“ rašytojas: apsvarstykite riziką, susijusią su auditorija

Kūrėjams kyla papildoma grėsmė: apsimetinėjimas. Jei užpuolikai gali įtikinamai suklastoti jūsų su „Substack“ susijusią tapatybę, jie gali nukreipti jūsų prenumeratorius į „specialius pasiūlymus“, kriptovaliutų sukčiavimo schemas arba netikras lėšų rinkimo nuorodas.

Apsvarstykite galimybę parašyti trumpą žinutę savo prenumeratoriams: niekada neprašysite slaptažodžių, vienkartinių kodų ar mokėjimo informacijos el. paštu.

Kaip atrodo geras įmonės atsakas (ne tik atsiprašymas)

„Substack“ pranešime pateikiamas pataisymas ir tyrimas. Tai būtina, tačiau geriausi atsakai į pažeidimus taip pat yra...konkretusFTC rekomendacijos įmonėms pabrėžia operacijų saugumą, pažeidžiamumų šalinimą ir aiškų bendravimą be klaidinančios informacijos nuslėpimo. Vartotojų požiūriu, „aiškus“ reiškia:

  • Kokie tiksliai duomenų laukai buvo pasiekti (el. pašto adresas, telefono numeris, vardas, pavardė, adresas, IP žurnalai, prenumeratorių sąrašai, tiesioginės žinutės ir kt.)?
  • Kiek paskyrų buvo paveikta, net ir kaip diapazonas
  • Ką vartotojai gali daryti, kad reikšmingai sumažintų riziką (2FA, slaptažodžių tvarkyklė, stebėjimas dėl sukčiavimo)
  • Kaip incidentas įvyko aukštu lygiu (pvz., atskleisti prisijungimo duomenys, pažeidžiamas galinis taškas, netinkama konfigūracija), kai jį bus saugu atskleisti
  • Kokie yra įsilaužimo požymiai (ar buvo įtartinų prisijungimų? Ar vartotojai gali peržiūrėti naujausius seansus?)

Kartais įmonės vengia detalių, nes nenori padėti kopijuotojams arba vyksta tyrimai. Tačiau per didelis informacijos nuslėpimas palieka vartotojus spėlionėms, o spėlionės dažniausiai sukelia paniką arba pasitenkinimą savimi.

Kodėl „vidiniai metaduomenys“ yra svarbesni nei atrodo

Daugelio pažeidimų atveju žalingiausia informacija nėra akivaizdžiai matomi laukai. „Vidiniai metaduomenys“ gali būti tokie dalykai kaip:

  • Paskyros sukūrimo data ir paskutinio prisijungimo laikas
  • Ar el. pašto adresas patvirtintas
  • Naujienlaiškio savininkas arba prenumeratorių skaičius
  • Telefono patvirtinimo būsena
  • Palaikymo užklausų istorija

Kiekvienas iš šių elementų padeda užpuolikui sukurti tikrovišką žinutę. Jei tekstinėje žinutėje rašoma „Jūsų 2021 m. sukurta „Substack“ paskyra turi būti pakartotinai patvirtinta“, ir tai tiesa, auka labiau linkusi laikytis nurodymų. Štai kodėl skaidrumas apie tai, kokie metaduomenys buvo atskleisti, nėra keista detalė – tai tiesiogiai susiję su tuo, kiek įtikinama bus kita sukčiavimo banga.

Ko neturėtumėte daryti

Trys dažniausios klaidos po informacijos pažeidimo atskleidimo:

  • Neatsakykite į atsitiktines „saugumo“ žinutes. Taip patvirtinate savo numerį ir kviečiate daugiau susisiekti.
  • Neįdiekite „palaikymo“ programėlių vien dėl to, kad kažkas jums paskambino. Jei jums reikia pagalbos, susisiekite oficialiais kanalais, kuriuos patys susiradote.
  • Nemanykite, kad esate saugūs, vien dėl to, kad negavote el. laiško. Pranešimai gali būti surežisuoti, nepilni arba riboti dėl byloje esančių kontaktinių duomenų. Laikykite tai bendru įspėjamuoju ženklu, o ne asmeniniu pranešimu apie viską.

Svarbesnė pamoka: kontaktiniai duomenys dabar yra „slapti“ duomenys

Duomenis linkę vertinti pagal tai, ar jie gali tiesiogiai ištuštinti banko sąskaitą. Tačiau šiuolaikinė sukčiavimo ekonomika dažnai veikia netiesiogiai: nutekina identifikatorius, sukčiavimo prisijungimo duomenis, perima el. pašto adresą, atkuria kitas paskyras, gauna pajamų iš prieigos. El. pašto adresai ir telefono numeriai yra pirmasis šių kopėčių žingsnis.

Platformoms tai reiškia, kad kontaktinių duomenų apsaugai reikia skirti tiek pat dėmesio, kiek ir slaptažodžių apsaugai – ne todėl, kad laukai yra lygiaverčiai, o todėl, kad užpuolikai gali juos panaudoti kaip svertą.

Vartotojams tai primena, kad geriausia gynyba yra ne tobulas slaptumas (pažeidimų pasitaiko), o atsparumas: unikalūs slaptažodžiai, stipri 2FA ir įpročiai, dėl kurių sukčiavimas yra nepelningas.

Esmė

El. pašto adresų ir telefono numerių nutekėjimas gali skambėti „ribotai“, tačiau jis vis tiek gali reikšmingai padidinti jūsų riziką susidurti su tiksliniu sukčiavimu, neteisėtu įsilaužimu ir bandymais užgrobti paskyrą kitur. „Substack“ pranešimą laikykite raginimu sustiprinti dvi svarbiausias sistemas: savo el. pašto paskyrą ir prisijungimo higieną.

O jei staiga padaugėjo „Substack security“ pranešimų, manykite, kad šis incidentas sukėlė naują sukčiavimo bangą – ir pirmiausia nespauskite, o patikrinkite.

Šaltiniai

Document Title
Substack data breach: why email-and-phone leaks matter (and what to do next)
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
Page Content
Substack data breach: why email-and-phone leaks matter (and what to do next)
Nature
Climate
/
General
/ By
Admin
When a company says “only emails and phone numbers were exposed,” it’s easy to shrug. No passwords, no credit cards — so what’s the harm?
In reality, email addresses and phone numbers are two of the most powerful
join keys
in the modern internet. They’re the identifiers that let attackers connect your presence across services, target you with convincing phishing and smishing, and in some cases attempt account takeovers through password resets or SIM swap–style social engineering. A leak of contact info isn’t the same as a leak of bank details, but it can be the first domino that makes other attacks cheaper and more likely to succeed.
This week, Substack began notifying some account holders that a security incident allowed an unauthorized party to access limited user data — including email addresses and phone numbers — with Substack saying the access occurred in October 2025 and was discovered and investigated in early February 2026. Substack’s CEO apologized and said that passwords and financial information were not accessed.
Let’s unpack what “limited user data” can still enable, what users should do (in order of impact), and what a good platform response looks like when the leaked fields are “just” contact details.
What Substack says happened (and what’s still unknown)
According to Substack’s notification message shared publicly and reported by
The Verge
, the company identified evidence of an issue that allowed an unauthorized third party to access limited user data without permission, including email addresses, phone numbers, and internal metadata. Substack says it fixed the problem and is conducting a full investigation, and that credit card numbers, passwords, and financial information were not accessed.
Two parts of that statement matter for understanding risk:
Timing:
access occurred months earlier (October 2025) but was identified later. That gap can affect how long an attacker had to explore systems or exfiltrate data.
Scope uncertainty:
the company did not publicly specify how many users were affected, what “internal metadata” includes, or whether any account state (like login history, device fingerprints, or subscriber lists) was exposed.
Those unknowns don’t automatically mean the worst. But they do mean users should assume that their email and phone number may be in the hands of someone who is willing to exploit them — and that their online accounts that use those identifiers may see an uptick in targeted scams.
Why email + phone is a high-value leak even without passwords
Email addresses and phone numbers are special because they’re used for three critical jobs:
Identity:
they’re the handle many services use as your username.
Recovery:
they’re the channels used to reset passwords.
Reach:
they’re how scammers can contact you cheaply at scale (email) or with high urgency and credibility (SMS/phone).
Once an attacker has your email and phone, they can do more than send generic spam. They can tailor messages that reference the breached service, create pressure (“your account will be suspended”), and funnel you into a fake login page or a fake “verify your phone” flow. The goal isn’t necessarily to break into Substack; it’s to break into whatever else you use that shares the same contact info.
This is why agencies like CISA emphasize skepticism toward unsolicited messages, especially those that attempt to create urgency, request personal information, or push you to click a link. Phishing and its SMS variant (“smishing”) are often the cheapest way for an attacker to turn leaked contact info into money or access.
The practical risks for Substack users
Here are the most likely follow-on threats after a contact-info leak, and how they show up in real life.
1) Phishing emails that look like Substack
Expect emails that claim you need to “confirm your password,” “re-verify your payout details,” or “avoid losing access.” They may include official-looking logos and plausible sender names. The trick is usually in the domain (a lookalike URL) or in a link that goes somewhere other than
substack.com
.
What makes this worse: if attackers also have “internal metadata,” they may know whether you’re a writer vs. a reader, or what newsletters you subscribe to, and can make messages more convincing.
2) Smishing and vishing (texts and calls)
Leaked phone numbers invite a different style of scam: short, urgent texts and calls that exploit the fact that people tend to trust phone communications more than email. CISA notes that attackers can combine voice and text (“vishing” and “smishing”) with spoofed caller ID, pushing victims to disclose sensitive information or install “support” software.
A typical smish might say: “Substack Security: unusual login detected. Reply YES to lock your account.” If you reply, you’ve confirmed the number is active — and you’re engaged.
3) Account takeover attempts via password reset elsewhere
If you reuse passwords (or use weak ones), contact info becomes a way in. Even if your password wasn’t leaked from Substack, an attacker can attempt password resets on other sites that use your email or phone number. They don’t need the old password if they can convince you to hand over a code, or if they can compromise your email account.
This is why the “real crown jewels” are usually your email inbox and your mobile number: control either of those, and an attacker can often pivot into many other accounts.
4) SIM swap / number-port fraud attempts
SIM swapping isn’t new, but a dataset that ties phone numbers to a specific online service can help attackers pick targets. Many mobile carriers have improved defenses, but social engineering remains a risk, especially if an attacker can gather additional context from other sources.
If you rely on SMS for two-factor authentication (2FA) on important accounts, a SIM swap is one of the scariest outcomes. That’s not a reason to panic — it’s a reason to reduce dependence on SMS for critical logins where you have better options.
What you should do now (highest impact first)
Substack’s notification encourages extra caution around suspicious emails or texts. That’s good advice, but it’s vague. Here’s a more concrete, prioritized checklist that most people can execute in 15–30 minutes.
1) Lock down your primary email account
Your email inbox is the master key for password resets. If you do only one thing, do this:
Turn on
two-factor authentication
for your email provider (prefer an authenticator app or hardware key).
Review
account recovery options
(backup email/phone) and remove anything you don’t control.
Change your email password if it’s reused anywhere else.
If you’re a writer who uses Substack professionally, treat your email security like you treat your bank: it’s infrastructure.
2) Change your Substack password (and stop reusing passwords)
Even if Substack says passwords weren’t accessed, changing your password is cheap insurance — especially if you’ve used the same password on other sites. Use a unique, long password generated by a password manager.
If Substack supports passkeys or stronger login options, consider enabling them. The long-term goal is to make phishing less effective by reducing reliance on shared secrets you can type into a fake website.
3) Enable stronger 2FA where it matters most
On your most important accounts (email, banking, cloud storage, social media handles that can be used for scams), prefer:
Authenticator app (TOTP) over SMS
Hardware security keys (best, when available)
Passkeys (increasingly strong against phishing, depending on implementation)
SMS-based 2FA is better than nothing, but it’s vulnerable to number-port attacks and targeted social engineering. If you’re a public-facing creator, it’s worth upgrading.
4) Adjust your mental spam filter for a few weeks
After a breach disclosure, attackers often strike while the story is fresh. For the next month or so:
Be skeptical of messages that mention Substack, newsletters, “verification,” or “security.”
Don’t click login links from emails/texts. Instead, type the domain yourself or use a bookmark.
Be wary of urgent requests for one-time codes. No legitimate company support should ask for your 2FA codes.
CISA’s guidance is blunt for a reason: the easiest way to avoid being phished is to assume any unsolicited request could be hostile until you independently verify it.
5) If you’re a Substack writer: consider your audience-facing risk
Creators have an extra threat: impersonation. If attackers can convincingly spoof your Substack-related identity, they may target your subscribers with “special offers,” crypto scams, or fake fundraising links.
Consider posting a short note to your subscribers: you will never ask for passwords, one-time codes, or payment details over email.
What a good company response looks like (beyond an apology)
Substack’s message includes a fix and an investigation. That’s necessary, but the best breach responses are also
specific
. The FTC’s guidance for businesses emphasizes securing operations, fixing vulnerabilities, and communicating clearly without misleading omissions. In consumer terms, “clear” means:
Exactly what data fields were accessed (email, phone, name, address, IP logs, subscriber lists, DMs, etc.)
How many accounts were affected, even as a range
What users can do that meaningfully reduces risk (2FA, password manager, watch for smishing)
How the incident happened at a high level (e.g., exposed credential, vulnerable endpoint, misconfiguration) once it’s safe to disclose
What indicators of compromise exist (were there suspicious logins? can users view recent sessions?)
Companies sometimes avoid details because they don’t want to aid copycat attackers or because investigations are ongoing. But withholding too much leaves users guessing — and guessing tends to produce either panic or complacency.
Why “internal metadata” matters more than it sounds
In many breaches, the most damaging information isn’t the obvious fields. “Internal metadata” can be things like:
Account creation date and last login time
Whether an email is verified
Newsletter ownership or subscriber counts
Phone verification status
Support ticket history
Each of these helps an attacker craft a message that feels real. If a text says “Your Substack account created in 2021 needs re-verification,” and that’s true, the target is more likely to comply. That’s why transparency about what metadata was exposed is not a nerdy detail — it’s directly tied to how convincing the next wave of scams will be.
What you should not do
Three common mistakes after a breach disclosure:
Don’t reply to random “security” texts. You’re validating your number and inviting more contact.
Don’t install “support” apps because someone called you. If you need help, initiate contact through official channels you look up yourself.
Don’t assume you’re safe because you didn’t get an email. Notifications can be staged, incomplete, or limited by contact details on file. Treat this as a general warning sign, not a personal all-clear.
The bigger lesson: contact data is now “sensitive” data
We tend to rank data by whether it can directly drain a bank account. But the modern scam economy often works indirectly: leak identifiers, phish credentials, take over an email, reset other accounts, monetize access. Email addresses and phone numbers are the first rung of that ladder.
For platforms, this means that protecting contact data requires the same seriousness as protecting passwords — not because the fields are equivalent, but because attackers can turn them into leverage.
For users, it’s a reminder that the best defense isn’t perfect secrecy (breaches happen), it’s resilience: unique passwords, strong 2FA, and habits that make phishing unprofitable.
Bottom line
A leak of emails and phone numbers may sound “limited,” but it can still meaningfully increase your exposure to targeted phishing, smishing, and account takeover attempts elsewhere. Treat Substack’s notice as a prompt to harden the two systems that matter most: your email account and your login hygiene.
And if you see a sudden spike in “Substack security” messages, assume the incident has created a new scam wave — and don’t click first, verify first.
Sources
https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
https://lorichristian.substack.com/p/notice-of-data-breach
https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
i Lietuvių kalba