Datalek bij Substack: waarom lekken via e-mail en telefoon belangrijk zijn (en wat je vervolgens moet doen)

/Algemeen/ Door

Als een bedrijf zegt dat "alleen e-mails en telefoonnummers zijn gelekt", haal je je schouders er makkelijk over op. Geen wachtwoorden, geen creditcards – dus wat is het probleem?

In werkelijkheid zijn e-mailadressen en telefoonnummers twee van de krachtigste communicatiemiddelen.sleutels verbindenIn het moderne internet zijn het de identificatoren waarmee aanvallers uw aanwezigheid op verschillende diensten kunnen traceren, u kunnen benaderen met overtuigende phishing- en smishing-aanvallen en in sommige gevallen accountovernames kunnen proberen via wachtwoordresets of social engineering in de stijl van sim-swaps. Een lek van contactgegevens is niet hetzelfde als een lek van bankgegevens, maar het kan wel de eerste dominosteen zijn die andere aanvallen goedkoper en succesvoller maakt.

Deze week is Substack begonnen met het informeren van sommige rekeninghouders over een beveiligingsincident waardoor een onbevoegde partij toegang heeft gekregen tot beperkte gebruikersgegevens, waaronder e-mailadressen en telefoonnummers. Substack meldt dat de toegang plaatsvond in oktober 2025 en begin februari 2026 werd ontdekt en onderzocht. De CEO van Substack heeft zijn excuses aangeboden en benadrukt dat er geen toegang is verkregen tot wachtwoorden of financiële gegevens.

Laten we eens nader bekijken wat "beperkte gebruikersgegevens" nog steeds mogelijk maken, wat gebruikers moeten doen (in volgorde van impact) en hoe een goede platformreactie eruitziet wanneer de gelekte velden "slechts" contactgegevens zijn.

Wat Substack zegt dat er is gebeurd (en wat nog onbekend is)

Volgens een openbaar gedeeld notificatiebericht van Substack, waarover is bericht door...The VergeHet bedrijf heeft bewijs gevonden van een probleem waardoor een onbevoegde derde partij zonder toestemming toegang kreeg tot beperkte gebruikersgegevens, waaronder e-mailadressen, telefoonnummers en interne metadata. Substack zegt het probleem te hebben opgelost en een volledig onderzoek uit te voeren. Creditcardnummers, wachtwoorden en financiële informatie zijn niet ingezien.

Twee onderdelen van die verklaring zijn van belang voor het begrijpen van risico's:

  • Tijdstip:De toegang vond maanden eerder plaats (oktober 2025), maar werd pas later ontdekt. ​​Dat tijdsverschil kan van invloed zijn op de tijd die een aanvaller had om systemen te verkennen of gegevens te stelen.
  • Onzekerheid over de reikwijdte:Het bedrijf heeft niet publiekelijk bekendgemaakt hoeveel gebruikers getroffen zijn, wat "interne metadata" precies inhoudt, of dat er accountgegevens (zoals inloggeschiedenis, apparaatvingerafdrukken of abonneelijsten) zijn blootgesteld.

Die onbekende factoren betekenen niet automatisch het ergste. Maar ze betekenen wel dat gebruikers ervan uit moeten gaan dat hun e-mailadres en telefoonnummer in handen kunnen zijn van iemand die daar misbruik van wil maken – en dat hun online accounts die deze gegevens gebruiken, mogelijk vaker het doelwit worden van gerichte oplichting.

Waarom e-mail + telefoonnummer een waardevol datalek is, zelfs zonder wachtwoorden

E-mailadressen en telefoonnummers zijn bijzonder omdat ze voor drie cruciale doeleinden worden gebruikt:

  • Identiteit:Het is de gebruikersnaam die veel services gebruiken.
  • Herstel:Dit zijn de kanalen die gebruikt worden om wachtwoorden te resetten.
  • Bereik:Dit zijn de manieren waarop oplichters je goedkoop en op grote schaal kunnen bereiken (e-mail) of met grote urgentie en geloofwaardigheid (sms/telefoon).

Zodra een aanvaller je e-mailadres en telefoonnummer in handen heeft, kan hij meer doen dan alleen generieke spam versturen. Hij kan berichten op maat maken die verwijzen naar de gehackte dienst, druk uitoefenen ("je account wordt geblokkeerd") en je naar een nep-inlogpagina of een nep-verificatieproces leiden. Het doel is niet per se om in te breken bij Substack; het is om in te breken bij alle andere diensten die je gebruikt en die dezelfde contactgegevens delen.

Daarom benadrukken instanties zoals CISA het belang van scepsis ten opzichte van ongevraagde berichten, met name berichten die een gevoel van urgentie proberen te creëren, persoonlijke informatie opvragen of je ertoe aanzetten op een link te klikken. Phishing en de sms-variant ervan ("smishing") zijn vaak de goedkoopste manier voor een aanvaller om gelekte contactgegevens om te zetten in geld of toegang.

De praktische risico's voor Substack-gebruikers

Hieronder vindt u de meest waarschijnlijke vervolgbedreigingen na een lek van contactgegevens, en hoe deze zich in de praktijk manifesteren.

1) Phishing-e-mails die eruitzien als Substack-e-mails

Verwacht e-mails met de melding dat je je wachtwoord moet bevestigen, je uitbetalingsgegevens opnieuw moet verifiëren of moet voorkomen dat je de toegang verliest. Deze e-mails kunnen officieel ogende logo's en plausibele afzendernamen bevatten. De truc zit hem meestal in het domein (een URL die er hetzelfde uitziet als de originele URL) of in een link die naar een andere website leidt dan de originele.substack.com.

Wat het nog erger maakt: als aanvallers ook beschikken over 'interne metadata', weten ze mogelijk of je een schrijver of een lezer bent, of op welke nieuwsbrieven je geabonneerd bent, en kunnen ze berichten overtuigender maken.

2) Smishing en vishing (sms'jes en telefoontjes)

Gelekte telefoonnummers lenen zich voor een ander soort oplichting: korte, dringende sms'jes en telefoontjes die inspelen op het feit dat mensen telefonische communicatie doorgaans meer vertrouwen dan e-mail. CISA merkt op dat aanvallers spraak en tekst kunnen combineren ("vishing" en "smishing") met vervalste nummerweergave, waardoor slachtoffers worden gedwongen gevoelige informatie prijs te geven of "ondersteunende" software te installeren.

Een typische smish zou bijvoorbeeld kunnen zeggen: "Substack Security: ongebruikelijke aanmelding gedetecteerd. Antwoord met JA om uw account te vergrendelen." Als u antwoordt, bevestigt u dat het nummer actief is en bent u verbonden.

3) Pogingen tot accountovername via wachtwoordherstel elders

Als je wachtwoorden hergebruikt (of zwakke wachtwoorden gebruikt), vormen je contactgegevens een toegangspoort. Zelfs als je wachtwoord niet is gelekt via Substack, kan een aanvaller proberen je wachtwoord te resetten op andere sites die je e-mailadres of telefoonnummer gebruiken. Ze hebben het oude wachtwoord niet nodig als ze je kunnen overhalen om een ​​code te geven, of als ze je e-mailaccount kunnen hacken.

Daarom zijn de "echte kroonjuwelen" meestal je e-mailinbox en je mobiele nummer: als een aanvaller een van beide in handen krijgt, kan hij vaak gemakkelijk toegang krijgen tot talloze andere accounts.

4) Fraudepogingen met SIM-kaarten wisselen / nummerportering

SIM-swapping is niet nieuw, maar een dataset die telefoonnummers koppelt aan een specifieke online dienst kan aanvallers helpen bij het kiezen van doelwitten. Veel mobiele providers hebben hun beveiliging verbeterd, maar social engineering blijft een risico, vooral als een aanvaller extra context kan verzamelen uit andere bronnen.

Als je voor tweefactorauthenticatie (2FA) op belangrijke accounts afhankelijk bent van sms, is een simkaartwissel een van de meest angstaanjagende scenario's. Dat is geen reden tot paniek, maar wel een reden om minder afhankelijk te zijn van sms voor cruciale aanmeldingen, waar betere alternatieven beschikbaar zijn.

Wat je nu moet doen (met de grootste impact eerst)

De melding van Substack moedigt aan om extra voorzichtig te zijn met verdachte e-mails of berichten. Dat is goed advies, maar het is vaag. Hier is een concretere, op prioriteiten gebaseerde checklist die de meeste mensen in 15-30 minuten kunnen afwerken.

1) Beveilig uw primaire e-mailaccount

Je e-mailinbox is de sleutel tot het resetten van je wachtwoord. Als je maar één ding doet, doe dan dit:

  • Inschakelentweefactorauthenticatievoor uw e-mailprovider (gebruik bij voorkeur een authenticatie-app of hardwarematige sleutel).
  • Beoordelingopties voor accountherstel(Maak een back-up van je e-mailadres/telefoonnummer) en verwijder alles waar je geen controle over hebt.
  • Wijzig je e-mailwachtwoord als je het ergens anders ook gebruikt.

Als je als schrijver Substack professioneel gebruikt, behandel je e-mailbeveiliging dan net zoals je je bankrekening behandelt: het is infrastructuur.

2) Wijzig je Substack-wachtwoord (en stop met het hergebruiken van wachtwoorden)

Zelfs als Substack aangeeft dat er geen wachtwoorden zijn gehackt, is het wijzigen van je wachtwoord een goedkope voorzorgsmaatregel – vooral als je hetzelfde wachtwoord ook op andere sites gebruikt. Gebruik een uniek, lang wachtwoord dat is gegenereerd door een wachtwoordmanager.

Als Substack wachtwoorden of sterkere inlogopties ondersteunt, overweeg dan om deze in te schakelen. Het uiteindelijke doel is om phishing minder effectief te maken door de afhankelijkheid van gedeelde geheimen die je op een nepwebsite kunt invoeren te verminderen.

3) Schakel sterkere 2FA in waar dat het meest nodig is.

Voor uw belangrijkste accounts (e-mail, bankrekeningen, cloudopslag, sociale media-accounts die voor oplichting kunnen worden gebruikt) kunt u het beste de volgende instellingen gebruiken:

  • Authenticator-app (TOTP) via sms
  • Hardwarebeveiligingssleutels (bij voorkeur, indien beschikbaar)
  • Wachtwoorden (steeds effectiever tegen phishing, afhankelijk van de implementatie)

SMS-gebaseerde tweefactorauthenticatie is beter dan niets, maar het is kwetsbaar voor nummerportaanvallen en gerichte social engineering. Als je content voor het publiek maakt, is het de moeite waard om te upgraden.

4) Stel je mentale spamfilter een paar weken bij.

Na de bekendmaking van een datalek slaan aanvallers vaak toe terwijl het nieuws nog vers in het geheugen ligt. Gedurende de komende maand of zo:

  • Wees sceptisch over berichten waarin Substack, nieuwsbrieven, 'verificatie' of 'beveiliging' voorkomen.
  • Klik niet op inloglinks in e-mails of sms'jes. Typ in plaats daarvan zelf het domein in of gebruik een bladwijzer.
  • Wees op je hoede voor dringende verzoeken om eenmalige codes. Geen enkele legitieme klantenservice van een bedrijf zou om je 2FA-codes vragen.

De richtlijnen van CISA zijn niet voor niets zo direct: de gemakkelijkste manier om phishing te voorkomen, is ervan uit te gaan dat elk ongevraagd verzoek kwaadaardig kan zijn, totdat je het zelfstandig hebt geverifieerd.

5) Als je een Substack-schrijver bent: denk na over het risico dat je voor je publiek loopt.

Voor contentmakers bestaat een extra bedreiging: identiteitsfraude. Als aanvallers je Substack-gerelateerde identiteit overtuigend kunnen nabootsen, kunnen ze je abonnees benaderen met 'speciale aanbiedingen', cryptofraude of nep-links voor fondsenwerving.

Overweeg om een ​​kort bericht naar je abonnees te sturen: je zult nooit via e-mail om wachtwoorden, eenmalige codes of betaalgegevens vragen.

Hoe een goede reactie van een bedrijf eruitziet (naast een verontschuldiging)

Het bericht van Substack bevat een oplossing en een onderzoek. Dat is noodzakelijk, maar de beste reacties op een datalek zijn ook...specifiekDe richtlijnen van de FTC voor bedrijven benadrukken het belang van het beveiligen van de bedrijfsvoering, het verhelpen van kwetsbaarheden en het helder communiceren zonder misleidende weglatingen. In termen van consumenten betekent "helder" het volgende:

  • Welke gegevensvelden precies zijn geraadpleegd (e-mail, telefoonnummer, naam, adres, IP-logboeken, abonneelijsten, DM's, enz.)
  • Hoeveel accounts werden getroffen, zelfs als een bereik
  • Wat kunnen gebruikers doen om het risico aanzienlijk te verlagen (2FA, wachtwoordmanager, opletten voor smishing)?
  • Hoe het incident zich in grote lijnen heeft voorgedaan (bijv. gelekte inloggegevens, kwetsbaar eindpunt, verkeerde configuratie), zodra dit veilig openbaar gemaakt kan worden.
  • Welke aanwijzingen voor een inbreuk zijn er (waren er verdachte inlogpogingen? kunnen gebruikers recente sessies bekijken?)

Bedrijven vermijden soms details omdat ze geen navolgers willen geven of omdat er onderzoeken gaande zijn. Maar te veel informatie achterhouden zorgt ervoor dat gebruikers in het ongewisse blijven – en gissen leidt vaak tot paniek of zelfgenoegzaamheid.

Waarom "interne metadata" belangrijker is dan het lijkt

Bij veel datalekken is de meest schadelijke informatie niet te vinden in de voor de hand liggende velden. "Interne metadata" kan bijvoorbeeld het volgende omvatten:

  • Aanmaakdatum van het account en tijdstip van laatste aanmelding
  • Of een e-mailadres is geverifieerd
  • Aantal abonnees op de nieuwsbrief
  • Telefoonverificatiestatus
  • Geschiedenis van supporttickets

Elk van deze factoren helpt een aanvaller bij het opstellen van een bericht dat geloofwaardig overkomt. Als een bericht zegt: "Uw Substack-account, aangemaakt in 2021, moet opnieuw worden geverifieerd", en dat klopt, is de kans groter dat het slachtoffer hieraan meewerkt. Daarom is transparantie over welke metadata is blootgesteld geen technisch detail, maar direct van invloed op hoe overtuigend de volgende golf van oplichting zal zijn.

Wat je niet moet doen

Drie veelgemaakte fouten na een melding van een datalek:

  • Reageer niet op willekeurige 'beveiligings'-berichten. Je bevestigt daarmee je nummer en nodigt uit tot verder contact.
  • Installeer geen 'support'-apps omdat iemand je gebeld heeft. Als je hulp nodig hebt, neem dan zelf contact op via de officiële kanalen die je moet opzoeken.
  • Ga er niet vanuit dat je veilig bent omdat je geen e-mail hebt ontvangen. Meldingen kunnen in scène gezet, onvolledig of beperkt zijn door de contactgegevens die bij ons bekend zijn. Beschouw dit als een algemeen waarschuwingssignaal, niet als een persoonlijke geruststelling.

De belangrijkste les: contactgegevens zijn nu "gevoelige" gegevens.

We hebben de neiging om gegevens te rangschikken op basis van de vraag of ze direct een bankrekening kunnen plunderen. Maar de moderne fraude-economie werkt vaak indirect: identificatiegegevens lekken, inloggegevens stelen via phishing, een e-mailaccount overnemen, andere accounts resetten, toegang te gelde maken. E-mailadressen en telefoonnummers zijn de eerste stap op die ladder.

Voor platformen betekent dit dat de bescherming van contactgegevens dezelfde ernst vereist als de bescherming van wachtwoorden – niet omdat de gegevens gelijkwaardig zijn, maar omdat aanvallers ze kunnen misbruiken.

Voor gebruikers is het een herinnering dat de beste verdediging niet perfecte geheimhouding is (inbreuken gebeuren nu eenmaal), maar veerkracht: unieke wachtwoorden, sterke tweefactorauthenticatie en gewoonten die phishing onrendabel maken.

Kortom

Een lek van e-mailadressen en telefoonnummers klinkt misschien "beperkt", maar het kan uw kwetsbaarheid voor gerichte phishing-, smishing- en accountovernamepogingen elders aanzienlijk vergroten. Beschouw de melding van Substack als een aansporing om de twee belangrijkste systemen te beveiligen: uw e-mailaccount en uw inlogbeveiliging.

En als je een plotselinge piek ziet in berichten over 'Substack-beveiliging', ga er dan van uit dat het incident een nieuwe golf van oplichting heeft veroorzaakt — en klik niet meteen, maar controleer eerst.

Bronnen

Document Title
Substack data breach: why email-and-phone leaks matter (and what to do next)
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
Page Content
Substack data breach: why email-and-phone leaks matter (and what to do next)
Nature
Climate
/
General
/ By
Admin
When a company says “only emails and phone numbers were exposed,” it’s easy to shrug. No passwords, no credit cards — so what’s the harm?
In reality, email addresses and phone numbers are two of the most powerful
join keys
in the modern internet. They’re the identifiers that let attackers connect your presence across services, target you with convincing phishing and smishing, and in some cases attempt account takeovers through password resets or SIM swap–style social engineering. A leak of contact info isn’t the same as a leak of bank details, but it can be the first domino that makes other attacks cheaper and more likely to succeed.
This week, Substack began notifying some account holders that a security incident allowed an unauthorized party to access limited user data — including email addresses and phone numbers — with Substack saying the access occurred in October 2025 and was discovered and investigated in early February 2026. Substack’s CEO apologized and said that passwords and financial information were not accessed.
Let’s unpack what “limited user data” can still enable, what users should do (in order of impact), and what a good platform response looks like when the leaked fields are “just” contact details.
What Substack says happened (and what’s still unknown)
According to Substack’s notification message shared publicly and reported by
The Verge
, the company identified evidence of an issue that allowed an unauthorized third party to access limited user data without permission, including email addresses, phone numbers, and internal metadata. Substack says it fixed the problem and is conducting a full investigation, and that credit card numbers, passwords, and financial information were not accessed.
Two parts of that statement matter for understanding risk:
Timing:
access occurred months earlier (October 2025) but was identified later. That gap can affect how long an attacker had to explore systems or exfiltrate data.
Scope uncertainty:
the company did not publicly specify how many users were affected, what “internal metadata” includes, or whether any account state (like login history, device fingerprints, or subscriber lists) was exposed.
Those unknowns don’t automatically mean the worst. But they do mean users should assume that their email and phone number may be in the hands of someone who is willing to exploit them — and that their online accounts that use those identifiers may see an uptick in targeted scams.
Why email + phone is a high-value leak even without passwords
Email addresses and phone numbers are special because they’re used for three critical jobs:
Identity:
they’re the handle many services use as your username.
Recovery:
they’re the channels used to reset passwords.
Reach:
they’re how scammers can contact you cheaply at scale (email) or with high urgency and credibility (SMS/phone).
Once an attacker has your email and phone, they can do more than send generic spam. They can tailor messages that reference the breached service, create pressure (“your account will be suspended”), and funnel you into a fake login page or a fake “verify your phone” flow. The goal isn’t necessarily to break into Substack; it’s to break into whatever else you use that shares the same contact info.
This is why agencies like CISA emphasize skepticism toward unsolicited messages, especially those that attempt to create urgency, request personal information, or push you to click a link. Phishing and its SMS variant (“smishing”) are often the cheapest way for an attacker to turn leaked contact info into money or access.
The practical risks for Substack users
Here are the most likely follow-on threats after a contact-info leak, and how they show up in real life.
1) Phishing emails that look like Substack
Expect emails that claim you need to “confirm your password,” “re-verify your payout details,” or “avoid losing access.” They may include official-looking logos and plausible sender names. The trick is usually in the domain (a lookalike URL) or in a link that goes somewhere other than
substack.com
.
What makes this worse: if attackers also have “internal metadata,” they may know whether you’re a writer vs. a reader, or what newsletters you subscribe to, and can make messages more convincing.
2) Smishing and vishing (texts and calls)
Leaked phone numbers invite a different style of scam: short, urgent texts and calls that exploit the fact that people tend to trust phone communications more than email. CISA notes that attackers can combine voice and text (“vishing” and “smishing”) with spoofed caller ID, pushing victims to disclose sensitive information or install “support” software.
A typical smish might say: “Substack Security: unusual login detected. Reply YES to lock your account.” If you reply, you’ve confirmed the number is active — and you’re engaged.
3) Account takeover attempts via password reset elsewhere
If you reuse passwords (or use weak ones), contact info becomes a way in. Even if your password wasn’t leaked from Substack, an attacker can attempt password resets on other sites that use your email or phone number. They don’t need the old password if they can convince you to hand over a code, or if they can compromise your email account.
This is why the “real crown jewels” are usually your email inbox and your mobile number: control either of those, and an attacker can often pivot into many other accounts.
4) SIM swap / number-port fraud attempts
SIM swapping isn’t new, but a dataset that ties phone numbers to a specific online service can help attackers pick targets. Many mobile carriers have improved defenses, but social engineering remains a risk, especially if an attacker can gather additional context from other sources.
If you rely on SMS for two-factor authentication (2FA) on important accounts, a SIM swap is one of the scariest outcomes. That’s not a reason to panic — it’s a reason to reduce dependence on SMS for critical logins where you have better options.
What you should do now (highest impact first)
Substack’s notification encourages extra caution around suspicious emails or texts. That’s good advice, but it’s vague. Here’s a more concrete, prioritized checklist that most people can execute in 15–30 minutes.
1) Lock down your primary email account
Your email inbox is the master key for password resets. If you do only one thing, do this:
Turn on
two-factor authentication
for your email provider (prefer an authenticator app or hardware key).
Review
account recovery options
(backup email/phone) and remove anything you don’t control.
Change your email password if it’s reused anywhere else.
If you’re a writer who uses Substack professionally, treat your email security like you treat your bank: it’s infrastructure.
2) Change your Substack password (and stop reusing passwords)
Even if Substack says passwords weren’t accessed, changing your password is cheap insurance — especially if you’ve used the same password on other sites. Use a unique, long password generated by a password manager.
If Substack supports passkeys or stronger login options, consider enabling them. The long-term goal is to make phishing less effective by reducing reliance on shared secrets you can type into a fake website.
3) Enable stronger 2FA where it matters most
On your most important accounts (email, banking, cloud storage, social media handles that can be used for scams), prefer:
Authenticator app (TOTP) over SMS
Hardware security keys (best, when available)
Passkeys (increasingly strong against phishing, depending on implementation)
SMS-based 2FA is better than nothing, but it’s vulnerable to number-port attacks and targeted social engineering. If you’re a public-facing creator, it’s worth upgrading.
4) Adjust your mental spam filter for a few weeks
After a breach disclosure, attackers often strike while the story is fresh. For the next month or so:
Be skeptical of messages that mention Substack, newsletters, “verification,” or “security.”
Don’t click login links from emails/texts. Instead, type the domain yourself or use a bookmark.
Be wary of urgent requests for one-time codes. No legitimate company support should ask for your 2FA codes.
CISA’s guidance is blunt for a reason: the easiest way to avoid being phished is to assume any unsolicited request could be hostile until you independently verify it.
5) If you’re a Substack writer: consider your audience-facing risk
Creators have an extra threat: impersonation. If attackers can convincingly spoof your Substack-related identity, they may target your subscribers with “special offers,” crypto scams, or fake fundraising links.
Consider posting a short note to your subscribers: you will never ask for passwords, one-time codes, or payment details over email.
What a good company response looks like (beyond an apology)
Substack’s message includes a fix and an investigation. That’s necessary, but the best breach responses are also
specific
. The FTC’s guidance for businesses emphasizes securing operations, fixing vulnerabilities, and communicating clearly without misleading omissions. In consumer terms, “clear” means:
Exactly what data fields were accessed (email, phone, name, address, IP logs, subscriber lists, DMs, etc.)
How many accounts were affected, even as a range
What users can do that meaningfully reduces risk (2FA, password manager, watch for smishing)
How the incident happened at a high level (e.g., exposed credential, vulnerable endpoint, misconfiguration) once it’s safe to disclose
What indicators of compromise exist (were there suspicious logins? can users view recent sessions?)
Companies sometimes avoid details because they don’t want to aid copycat attackers or because investigations are ongoing. But withholding too much leaves users guessing — and guessing tends to produce either panic or complacency.
Why “internal metadata” matters more than it sounds
In many breaches, the most damaging information isn’t the obvious fields. “Internal metadata” can be things like:
Account creation date and last login time
Whether an email is verified
Newsletter ownership or subscriber counts
Phone verification status
Support ticket history
Each of these helps an attacker craft a message that feels real. If a text says “Your Substack account created in 2021 needs re-verification,” and that’s true, the target is more likely to comply. That’s why transparency about what metadata was exposed is not a nerdy detail — it’s directly tied to how convincing the next wave of scams will be.
What you should not do
Three common mistakes after a breach disclosure:
Don’t reply to random “security” texts. You’re validating your number and inviting more contact.
Don’t install “support” apps because someone called you. If you need help, initiate contact through official channels you look up yourself.
Don’t assume you’re safe because you didn’t get an email. Notifications can be staged, incomplete, or limited by contact details on file. Treat this as a general warning sign, not a personal all-clear.
The bigger lesson: contact data is now “sensitive” data
We tend to rank data by whether it can directly drain a bank account. But the modern scam economy often works indirectly: leak identifiers, phish credentials, take over an email, reset other accounts, monetize access. Email addresses and phone numbers are the first rung of that ladder.
For platforms, this means that protecting contact data requires the same seriousness as protecting passwords — not because the fields are equivalent, but because attackers can turn them into leverage.
For users, it’s a reminder that the best defense isn’t perfect secrecy (breaches happen), it’s resilience: unique passwords, strong 2FA, and habits that make phishing unprofitable.
Bottom line
A leak of emails and phone numbers may sound “limited,” but it can still meaningfully increase your exposure to targeted phishing, smishing, and account takeover attempts elsewhere. Treat Substack’s notice as a prompt to harden the two systems that matter most: your email account and your login hygiene.
And if you see a sudden spike in “Substack security” messages, assume the incident has created a new scam wave — and don’t click first, verify first.
Sources
https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
https://lorichristian.substack.com/p/notice-of-data-breach
https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
e Nederlands