Substack veri ihlali: E-posta ve telefon sızıntılarının önemi (ve bundan sonra ne yapılmalı)

/Genel/ İle

Bir şirket "sadece e-postalar ve telefon numaraları ifşa edildi" dediğinde, omuz silkmek kolaydır. Şifreler yok, kredi kartları yok - o halde zararı ne?

Gerçekte, e-posta adresleri ve telefon numaraları en güçlü iletişim araçlarından ikisidir.anahtarları birleştirModern internette, bu tanımlayıcılar saldırganların hizmetler genelinde varlığınızı belirlemesine, inandırıcı kimlik avı ve SMS dolandırıcılığıyla sizi hedef almasına ve bazı durumlarda parola sıfırlama veya SIM kart değiştirme tarzı sosyal mühendislik yoluyla hesap ele geçirme girişiminde bulunmasına olanak tanır. İletişim bilgilerinin sızdırılması, banka bilgilerinin sızdırılmasıyla aynı şey değildir, ancak diğer saldırıları daha ucuz ve başarılı olma olasılığı daha yüksek hale getiren ilk domino taşı olabilir.

Bu hafta Substack, bazı hesap sahiplerine yetkisiz bir tarafın e-posta adresleri ve telefon numaraları da dahil olmak üzere sınırlı kullanıcı verilerine erişmesine olanak tanıyan bir güvenlik olayı hakkında bildirim göndermeye başladı. Substack, erişimin Ekim 2025'te gerçekleştiğini ve Şubat 2026'nın başlarında keşfedilip soruşturulduğunu belirtti. Substack CEO'su özür diledi ve şifrelere ve finansal bilgilere erişilmediğini söyledi.

Gelin, "sınırlı kullanıcı verisi"nin hala neleri mümkün kıldığını, kullanıcıların (etki sırasına göre) ne yapması gerektiğini ve sızdırılan alanlar "sadece" iletişim bilgileri olduğunda iyi bir platform yanıtının nasıl olması gerektiğini inceleyelim.

Substack'in anlattığı olaylar (ve henüz bilinmeyenler)

Substack'in kamuoyuyla paylaştığı ve haberleştirdiği bildirim mesajına göreThe VergeŞirket, yetkisiz bir üçüncü tarafın e-posta adresleri, telefon numaraları ve dahili meta veriler de dahil olmak üzere sınırlı kullanıcı verilerine izinsiz erişmesine olanak tanıyan bir sorun tespit etti. Substack, sorunu çözdüğünü ve kapsamlı bir soruşturma yürüttüğünü, kredi kartı numaralarına, şifrelere ve finansal bilgilere erişilmediğini belirtiyor.

Risk anlayışı açısından bu ifadenin iki kısmı önemlidir:

  • Zamanlama:Erişim aylar önce (Ekim 2025) gerçekleşmişti ancak daha sonra tespit edildi. Bu boşluk, bir saldırganın sistemleri keşfetmek veya veri sızdırmak için ne kadar zamanı olduğunu etkileyebilir.
  • Kapsam belirsizliği:Şirket, kaç kullanıcının etkilendiğini, "dahili meta verilerin" neleri içerdiğini veya herhangi bir hesap durumunun (giriş geçmişi, cihaz parmak izleri veya abone listeleri gibi) ifşa edilip edilmediğini kamuoyuna açıklamadı.

Bu bilinmeyenler otomatik olarak en kötü senaryo anlamına gelmez. Ancak kullanıcıların e-posta adreslerinin ve telefon numaralarının, onları istismar etmeye hazır birinin elinde olabileceğini ve bu tanımlayıcıları kullanan çevrimiçi hesaplarında hedefli dolandırıcılık vakalarında artış görülebileceğini varsaymaları gerektiği anlamına gelir.

Şifreler olmasa bile e-posta ve telefon bilgilerinin neden yüksek değerli bir bilgi sızıntısı olduğu

E-posta adresleri ve telefon numaraları üç kritik görev için kullanıldıkları için özeldir:

  • Kimlik:Bunlar, birçok hizmetin kullanıcı adınız olarak kullandığı takma adlardır.
  • İyileşmek:Bunlar şifre sıfırlamak için kullanılan kanallar.
  • Ulaşmak:Dolandırıcılar, sizinle ucuz ve toplu olarak (e-posta) veya yüksek aciliyet ve güvenilirlikle (SMS/telefon) iletişime geçmek için bu yöntemleri kullanırlar.

Saldırgan e-posta ve telefon bilgilerinizi ele geçirdikten sonra, genel spam göndermekten çok daha fazlasını yapabilir. Saldırıya uğrayan hizmete atıfta bulunan, baskı yaratan ("hesabınız askıya alınacak") ve sizi sahte bir giriş sayfasına veya sahte bir "telefonunuzu doğrulayın" sayfasına yönlendiren mesajlar gönderebilir. Amaç mutlaka Substack'e girmek değil; aynı iletişim bilgilerini paylaştığınız diğer tüm uygulamalara sızmaktır.

Bu nedenle CISA gibi kuruluşlar, özellikle aciliyet yaratmaya çalışan, kişisel bilgi isteyen veya bir bağlantıya tıklamanızı isteyen istenmeyen mesajlara karşı şüpheciliği vurgulamaktadır. Kimlik avı ve SMS varyantı ("smishing"), saldırganların sızdırılan iletişim bilgilerini paraya veya erişime dönüştürmesinin genellikle en ucuz yoludur.

Substack kullanıcıları için pratik riskler

İletişim bilgilerinin sızdırılmasının ardından ortaya çıkabilecek en olası tehditler ve bunların gerçek hayatta nasıl ortaya çıktığı aşağıda açıklanmıştır.

1) Substack'e benzeyen kimlik avı e-postaları

"Şifrenizi onaylamanız," "ödeme bilgilerinizi yeniden doğrulamanız" veya "erişiminizi kaybetmemeniz" gerektiğini iddia eden e-postalar bekleyin. Bunlar resmi görünümlü logolar ve inandırıcı gönderen adları içerebilir. Hile genellikle alan adında (benzer bir URL) veya başka bir yere giden bir bağlantıda gizlidir.substack.com.

Daha da kötüsü: Saldırganlar ayrıca "dahili meta verilere" sahipse, yazar mı okuyucu mu olduğunuzu veya hangi bültenlere abone olduğunuzu bilebilir ve mesajları daha inandırıcı hale getirebilirler.

2) SMS ve telefon dolandırıcılığı (mesaj ve aramalar)

Sızdırılan telefon numaraları farklı bir dolandırıcılık türüne zemin hazırlıyor: İnsanların e-postaya kıyasla telefon iletişimine daha çok güvendiği gerçeğinden yararlanan kısa, acil mesajlar ve aramalar. CISA, saldırganların sahte arayan kimliğiyle sesli ve yazılı mesajları ("vishing" ve "smishing") birleştirerek kurbanları hassas bilgileri açıklamaya veya "destek" yazılımı yüklemeye zorlayabileceğini belirtiyor.

Tipik bir SMISH mesajı şöyle olabilir: “Substack Güvenliği: Olağandışı oturum açma tespit edildi. Hesabınızı kilitlemek için EVET yanıtını verin.” Yanıt verirseniz, numaranın aktif olduğunu ve işlemin tamamlandığını onaylamış olursunuz.

3) Başka bir yerden parola sıfırlama yoluyla hesap ele geçirme girişimleri

Şifrelerinizi tekrar kullanıyorsanız (veya zayıf şifreler kullanıyorsanız), iletişim bilgileriniz bir giriş yolu haline gelir. Şifreniz Substack'ten sızdırılmamış olsa bile, bir saldırgan e-posta adresinizi veya telefon numaranızı kullanan diğer sitelerde şifre sıfırlama girişiminde bulunabilir. Sizi bir kod vermeye ikna edebilirlerse veya e-posta hesabınızı ele geçirebilirlerse, eski şifreye ihtiyaç duymazlar.

Bu nedenle "gerçek değerli varlıklarınız" genellikle e-posta gelen kutunuz ve cep telefonu numaranızdır: bunlardan herhangi birini kontrol altına alan bir saldırgan, genellikle diğer birçok hesaba da sızabilir.

4) SIM değiştirme / numara taşıma dolandırıcılığı girişimleri

SIM değiştirme yeni bir şey değil, ancak telefon numaralarını belirli bir çevrimiçi hizmetle ilişkilendiren bir veri kümesi, saldırganların hedef seçmesine yardımcı olabilir. Birçok mobil operatör savunmalarını geliştirdi, ancak özellikle bir saldırgan diğer kaynaklardan ek bağlam toplayabilirse, sosyal mühendislik hâlâ bir risk olmaya devam ediyor.

Önemli hesaplarınızda iki faktörlü kimlik doğrulama (2FA) için SMS'e güveniyorsanız, SIM kart değişimi en korkutucu sonuçlardan biridir. Bu panik yapmanız için bir neden değil; daha iyi seçeneklerinizin olduğu kritik girişler için SMS'e olan bağımlılığınızı azaltmanız için bir nedendir.

Şimdi yapmanız gerekenler (en yüksek etkiyi yaratacak olandan başlayarak)

Substack'in bildirimi, şüpheli e-postalar veya mesajlar konusunda ekstra dikkatli olunmasını öneriyor. Bu iyi bir tavsiye, ancak belirsiz. İşte çoğu insanın 15-30 dakika içinde uygulayabileceği daha somut, önceliklendirilmiş bir kontrol listesi.

1) Birincil e-posta hesabınızı güvenli hale getirin.

E-posta gelen kutunuz, parola sıfırlama işlemlerinin anahtarıdır. Eğer sadece bir şey yapacaksanız, şunu yapın:

  • Açıniki faktörlü kimlik doğrulamaE-posta sağlayıcınız için (tercihen bir kimlik doğrulama uygulaması veya donanım anahtarı).
  • Gözden geçirmekhesap kurtarma seçenekleri(Yedek e-posta/telefon) ve kontrolünüz dışında olan her şeyi kaldırın.
  • E-posta şifrenizi başka bir yerde kullanıyorsanız değiştirin.

Eğer Substack'i profesyonel olarak kullanan bir yazarsanız, e-posta güvenliğinizi bankanız gibi ele alın: altyapınızın bir parçasıdır.

2) Substack parolanızı değiştirin (ve parolalarınızı tekrar kullanmayı bırakın)

Substack şifrelerinize erişilmediğini söylese bile, şifrenizi değiştirmek ucuz bir önlemdir; özellikle de aynı şifreyi başka sitelerde de kullandıysanız. Şifre yöneticisi tarafından oluşturulmuş benzersiz, uzun bir şifre kullanın.

Eğer Substack parola anahtarlarını veya daha güçlü giriş seçeneklerini destekliyorsa, bunları etkinleştirmeyi düşünün. Uzun vadeli hedef, sahte bir web sitesine yazabileceğiniz paylaşılan gizli bilgilere olan bağımlılığı azaltarak kimlik avının etkinliğini düşürmektir.

3) En çok ihtiyaç duyulan yerlerde daha güçlü iki faktörlü kimlik doğrulamayı etkinleştirin.

En önemli hesaplarınızda (e-posta, bankacılık, bulut depolama, dolandırıcılık amacıyla kullanılabilecek sosyal medya hesapları) şunları tercih edin:

  • SMS üzerinden kimlik doğrulama uygulaması (TOTP)
  • Donanım güvenlik anahtarları (mevcutsa en iyisi)
  • Parola anahtarları (uygulama şekline bağlı olarak kimlik avına karşı giderek daha güçlü hale geliyor)

SMS tabanlı iki faktörlü kimlik doğrulama (2FA) hiç yoktan iyidir, ancak numara taşıma saldırılarına ve hedefli sosyal mühendislik saldırılarına karşı savunmasızdır. Eğer herkese açık içerik üreten bir kişiyseniz, yükseltmeye değer.

4) Birkaç hafta boyunca zihinsel spam filtrelerinizi ayarlayın.

Bir güvenlik ihlalinin ortaya çıkmasının ardından, saldırganlar genellikle olay henüz tazeyken harekete geçerler. Önümüzdeki bir ay kadar boyunca:

  • Substack, haber bültenleri, "doğrulama" veya "güvenlik" kelimelerini içeren mesajlara şüpheyle yaklaşın.
  • E-posta/SMS'lerden gelen giriş bağlantılarına tıklamayın. Bunun yerine, alan adını kendiniz yazın veya bir yer imi kullanın.
  • Acil tek kullanımlık kod taleplerine karşı dikkatli olun. Hiçbir meşru şirket destek ekibi sizden 2FA kodlarınızı istememelidir.

CISA'nın yönergeleri açık ve nettir, bunun bir nedeni var: Kimlik avına maruz kalmaktan kaçınmanın en kolay yolu, bağımsız olarak doğrulayana kadar, istenmeyen her isteğin düşmanca olabileceğini varsaymaktır.

5) Eğer Substack yazarıysanız: hedef kitlenizle ilgili riskleri göz önünde bulundurun.

İçerik oluşturucular için ek bir tehdit daha var: kimlik taklitçiliği. Saldırganlar Substack ile ilgili kimliğinizi inandırıcı bir şekilde taklit edebilirse, abonelerinizi "özel teklifler", kripto para dolandırıcılığı veya sahte bağış toplama bağlantılarıyla hedef alabilirler.

Abonelerinize kısa bir not göndermeyi düşünün: E-posta yoluyla asla şifre, tek kullanımlık kod veya ödeme bilgisi istemeyeceksiniz.

İyi bir şirket yanıtı (özür dilemenin ötesinde) nasıl olmalıdır?

Substack'in mesajı bir düzeltme ve bir soruşturma içeriyor. Bu gerekli, ancak en iyi ihlal yanıtları aynı zamanda şunları da içerir:özelFTC'nin işletmelere yönelik rehberi, operasyonların güvenliğini sağlamayı, güvenlik açıklarını gidermeyi ve yanıltıcı eksikliklerden kaçınarak açık bir şekilde iletişim kurmayı vurgulamaktadır. Tüketici açısından "açık" olmak şu anlama gelir:

  • Tam olarak hangi veri alanlarına erişildi (e-posta, telefon, isim, adres, IP kayıtları, abone listeleri, özel mesajlar vb.)
  • Kaç hesap etkilendi, aralık olarak bile olsa?
  • Kullanıcıların riski anlamlı şekilde azaltmak için yapabileceği şeyler (iki faktörlü kimlik doğrulama, parola yöneticisi, SMS kimlik avı saldırılarına dikkat etme)
  • Olayın genel hatlarıyla nasıl gerçekleştiği (örneğin, ifşa edilen kimlik bilgileri, savunmasız uç nokta, yanlış yapılandırma) ve artık güvenli bir şekilde nasıl açıklanabileceği.
  • Güvenlik ihlaline dair hangi göstergeler mevcut (şüpheli girişler oldu mu? Kullanıcılar son oturumları görüntüleyebiliyor mu?)

Şirketler bazen taklitçi saldırganlara yardımcı olmak istemedikleri veya soruşturmalar devam ettiği için ayrıntıları vermekten kaçınırlar. Ancak çok fazla bilgi saklamak, kullanıcıların tahmin yürütmesine yol açar ve tahmin yürütme genellikle paniğe veya rehavete neden olur.

"İçsel meta verilerin" göründüğünden daha önemli olmasının nedenleri

Birçok veri ihlalinde, en çok zarar veren bilgiler bariz alanlarda yer almaz. "İç meta veriler" şunlar gibi şeyler olabilir:

  • Hesap oluşturma tarihi ve son giriş zamanı
  • Bir e-postanın doğrulanıp doğrulanmadığı
  • Haber bülteni sahipliği veya abone sayısı
  • Telefon doğrulama durumu
  • Destek bileti geçmişi

Bunların her biri, saldırganın gerçekçi görünen bir mesaj oluşturmasına yardımcı olur. Eğer bir mesajda "2021 yılında oluşturulan Substack hesabınızın yeniden doğrulanması gerekiyor" yazıyorsa ve bu doğruysa, hedef kişinin buna uyma olasılığı daha yüksektir. Bu nedenle, hangi meta verilerin ifşa edildiği konusunda şeffaflık, teknik bir ayrıntı değil; bir sonraki dolandırıcılık dalgasının ne kadar inandırıcı olacağıyla doğrudan bağlantılıdır.

Yapmamanız gerekenler

Veri ihlali bildiriminden sonra yapılan üç yaygın hata:

  • Rastgele gönderilen "güvenlik" mesajlarına cevap vermeyin. Bu şekilde numaranızı doğruluyor ve daha fazla iletişim kurulmasına olanak sağlıyorsunuz.
  • "Birisi sizi aradı diye 'destek' uygulamaları yüklemeyin. Yardıma ihtiyacınız varsa, kendiniz araştırıp bulacağınız resmi kanallar aracılığıyla iletişime geçin."
  • E-posta almadığınız için güvende olduğunuzu varsaymayın. Bildirimler aşamalı, eksik veya kayıtlı iletişim bilgilerine göre sınırlı olabilir. Bunu kişisel bir güvenlik açığı olarak değil, genel bir uyarı işareti olarak değerlendirin.

Daha büyük ders şu: iletişim bilgileri artık "hassas" veriler olarak kabul ediliyor.

Verileri genellikle doğrudan banka hesabını boşaltıp boşaltamayacağına göre sıralarız. Ancak modern dolandırıcılık ekonomisi çoğu zaman dolaylı olarak işler: kimlik bilgilerini sızdırmak, kimlik avı yapmak, e-postayı ele geçirmek, diğer hesapları sıfırlamak, erişimi paraya çevirmek. E-posta adresleri ve telefon numaraları bu merdivenin ilk basamağıdır.

Platformlar için bu, iletişim verilerinin korunmasının, şifrelerin korunmasıyla aynı ciddiyeti gerektirdiği anlamına gelir; bunun nedeni alanların eşdeğer olması değil, saldırganların bunları kendi çıkarları için kullanabilmesidir.

Kullanıcılar için bu, en iyi savunmanın kusursuz gizlilik (ihlaller yaşanabiliyor) değil, dayanıklılık olduğunu hatırlatıyor: benzersiz şifreler, güçlü iki faktörlü kimlik doğrulama ve kimlik avını karlı hale getirmeyen alışkanlıklar.

Özetle

E-posta ve telefon numaralarının sızdırılması "sınırlı" gibi görünse de, hedefli kimlik avı, SMS kimlik avı ve hesap ele geçirme girişimlerine karşı savunmasızlığınızı önemli ölçüde artırabilir. Substack'in uyarısını, en önemli iki sisteminizi güçlendirmek için bir hatırlatma olarak değerlendirin: e-posta hesabınız ve oturum açma güvenliğiniz.

Eğer "Substack güvenliği" mesajlarında ani bir artış görürseniz, olayın yeni bir dolandırıcılık dalgası yarattığını varsayın ve önce tıklamayın, önce doğrulayın.

Kaynaklar

Document Title
Substack data breach: why email-and-phone leaks matter (and what to do next)
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
Page Content
Substack data breach: why email-and-phone leaks matter (and what to do next)
Nature
Climate
/
General
/ By
Admin
When a company says “only emails and phone numbers were exposed,” it’s easy to shrug. No passwords, no credit cards — so what’s the harm?
In reality, email addresses and phone numbers are two of the most powerful
join keys
in the modern internet. They’re the identifiers that let attackers connect your presence across services, target you with convincing phishing and smishing, and in some cases attempt account takeovers through password resets or SIM swap–style social engineering. A leak of contact info isn’t the same as a leak of bank details, but it can be the first domino that makes other attacks cheaper and more likely to succeed.
This week, Substack began notifying some account holders that a security incident allowed an unauthorized party to access limited user data — including email addresses and phone numbers — with Substack saying the access occurred in October 2025 and was discovered and investigated in early February 2026. Substack’s CEO apologized and said that passwords and financial information were not accessed.
Let’s unpack what “limited user data” can still enable, what users should do (in order of impact), and what a good platform response looks like when the leaked fields are “just” contact details.
What Substack says happened (and what’s still unknown)
According to Substack’s notification message shared publicly and reported by
The Verge
, the company identified evidence of an issue that allowed an unauthorized third party to access limited user data without permission, including email addresses, phone numbers, and internal metadata. Substack says it fixed the problem and is conducting a full investigation, and that credit card numbers, passwords, and financial information were not accessed.
Two parts of that statement matter for understanding risk:
Timing:
access occurred months earlier (October 2025) but was identified later. That gap can affect how long an attacker had to explore systems or exfiltrate data.
Scope uncertainty:
the company did not publicly specify how many users were affected, what “internal metadata” includes, or whether any account state (like login history, device fingerprints, or subscriber lists) was exposed.
Those unknowns don’t automatically mean the worst. But they do mean users should assume that their email and phone number may be in the hands of someone who is willing to exploit them — and that their online accounts that use those identifiers may see an uptick in targeted scams.
Why email + phone is a high-value leak even without passwords
Email addresses and phone numbers are special because they’re used for three critical jobs:
Identity:
they’re the handle many services use as your username.
Recovery:
they’re the channels used to reset passwords.
Reach:
they’re how scammers can contact you cheaply at scale (email) or with high urgency and credibility (SMS/phone).
Once an attacker has your email and phone, they can do more than send generic spam. They can tailor messages that reference the breached service, create pressure (“your account will be suspended”), and funnel you into a fake login page or a fake “verify your phone” flow. The goal isn’t necessarily to break into Substack; it’s to break into whatever else you use that shares the same contact info.
This is why agencies like CISA emphasize skepticism toward unsolicited messages, especially those that attempt to create urgency, request personal information, or push you to click a link. Phishing and its SMS variant (“smishing”) are often the cheapest way for an attacker to turn leaked contact info into money or access.
The practical risks for Substack users
Here are the most likely follow-on threats after a contact-info leak, and how they show up in real life.
1) Phishing emails that look like Substack
Expect emails that claim you need to “confirm your password,” “re-verify your payout details,” or “avoid losing access.” They may include official-looking logos and plausible sender names. The trick is usually in the domain (a lookalike URL) or in a link that goes somewhere other than
substack.com
.
What makes this worse: if attackers also have “internal metadata,” they may know whether you’re a writer vs. a reader, or what newsletters you subscribe to, and can make messages more convincing.
2) Smishing and vishing (texts and calls)
Leaked phone numbers invite a different style of scam: short, urgent texts and calls that exploit the fact that people tend to trust phone communications more than email. CISA notes that attackers can combine voice and text (“vishing” and “smishing”) with spoofed caller ID, pushing victims to disclose sensitive information or install “support” software.
A typical smish might say: “Substack Security: unusual login detected. Reply YES to lock your account.” If you reply, you’ve confirmed the number is active — and you’re engaged.
3) Account takeover attempts via password reset elsewhere
If you reuse passwords (or use weak ones), contact info becomes a way in. Even if your password wasn’t leaked from Substack, an attacker can attempt password resets on other sites that use your email or phone number. They don’t need the old password if they can convince you to hand over a code, or if they can compromise your email account.
This is why the “real crown jewels” are usually your email inbox and your mobile number: control either of those, and an attacker can often pivot into many other accounts.
4) SIM swap / number-port fraud attempts
SIM swapping isn’t new, but a dataset that ties phone numbers to a specific online service can help attackers pick targets. Many mobile carriers have improved defenses, but social engineering remains a risk, especially if an attacker can gather additional context from other sources.
If you rely on SMS for two-factor authentication (2FA) on important accounts, a SIM swap is one of the scariest outcomes. That’s not a reason to panic — it’s a reason to reduce dependence on SMS for critical logins where you have better options.
What you should do now (highest impact first)
Substack’s notification encourages extra caution around suspicious emails or texts. That’s good advice, but it’s vague. Here’s a more concrete, prioritized checklist that most people can execute in 15–30 minutes.
1) Lock down your primary email account
Your email inbox is the master key for password resets. If you do only one thing, do this:
Turn on
two-factor authentication
for your email provider (prefer an authenticator app or hardware key).
Review
account recovery options
(backup email/phone) and remove anything you don’t control.
Change your email password if it’s reused anywhere else.
If you’re a writer who uses Substack professionally, treat your email security like you treat your bank: it’s infrastructure.
2) Change your Substack password (and stop reusing passwords)
Even if Substack says passwords weren’t accessed, changing your password is cheap insurance — especially if you’ve used the same password on other sites. Use a unique, long password generated by a password manager.
If Substack supports passkeys or stronger login options, consider enabling them. The long-term goal is to make phishing less effective by reducing reliance on shared secrets you can type into a fake website.
3) Enable stronger 2FA where it matters most
On your most important accounts (email, banking, cloud storage, social media handles that can be used for scams), prefer:
Authenticator app (TOTP) over SMS
Hardware security keys (best, when available)
Passkeys (increasingly strong against phishing, depending on implementation)
SMS-based 2FA is better than nothing, but it’s vulnerable to number-port attacks and targeted social engineering. If you’re a public-facing creator, it’s worth upgrading.
4) Adjust your mental spam filter for a few weeks
After a breach disclosure, attackers often strike while the story is fresh. For the next month or so:
Be skeptical of messages that mention Substack, newsletters, “verification,” or “security.”
Don’t click login links from emails/texts. Instead, type the domain yourself or use a bookmark.
Be wary of urgent requests for one-time codes. No legitimate company support should ask for your 2FA codes.
CISA’s guidance is blunt for a reason: the easiest way to avoid being phished is to assume any unsolicited request could be hostile until you independently verify it.
5) If you’re a Substack writer: consider your audience-facing risk
Creators have an extra threat: impersonation. If attackers can convincingly spoof your Substack-related identity, they may target your subscribers with “special offers,” crypto scams, or fake fundraising links.
Consider posting a short note to your subscribers: you will never ask for passwords, one-time codes, or payment details over email.
What a good company response looks like (beyond an apology)
Substack’s message includes a fix and an investigation. That’s necessary, but the best breach responses are also
specific
. The FTC’s guidance for businesses emphasizes securing operations, fixing vulnerabilities, and communicating clearly without misleading omissions. In consumer terms, “clear” means:
Exactly what data fields were accessed (email, phone, name, address, IP logs, subscriber lists, DMs, etc.)
How many accounts were affected, even as a range
What users can do that meaningfully reduces risk (2FA, password manager, watch for smishing)
How the incident happened at a high level (e.g., exposed credential, vulnerable endpoint, misconfiguration) once it’s safe to disclose
What indicators of compromise exist (were there suspicious logins? can users view recent sessions?)
Companies sometimes avoid details because they don’t want to aid copycat attackers or because investigations are ongoing. But withholding too much leaves users guessing — and guessing tends to produce either panic or complacency.
Why “internal metadata” matters more than it sounds
In many breaches, the most damaging information isn’t the obvious fields. “Internal metadata” can be things like:
Account creation date and last login time
Whether an email is verified
Newsletter ownership or subscriber counts
Phone verification status
Support ticket history
Each of these helps an attacker craft a message that feels real. If a text says “Your Substack account created in 2021 needs re-verification,” and that’s true, the target is more likely to comply. That’s why transparency about what metadata was exposed is not a nerdy detail — it’s directly tied to how convincing the next wave of scams will be.
What you should not do
Three common mistakes after a breach disclosure:
Don’t reply to random “security” texts. You’re validating your number and inviting more contact.
Don’t install “support” apps because someone called you. If you need help, initiate contact through official channels you look up yourself.
Don’t assume you’re safe because you didn’t get an email. Notifications can be staged, incomplete, or limited by contact details on file. Treat this as a general warning sign, not a personal all-clear.
The bigger lesson: contact data is now “sensitive” data
We tend to rank data by whether it can directly drain a bank account. But the modern scam economy often works indirectly: leak identifiers, phish credentials, take over an email, reset other accounts, monetize access. Email addresses and phone numbers are the first rung of that ladder.
For platforms, this means that protecting contact data requires the same seriousness as protecting passwords — not because the fields are equivalent, but because attackers can turn them into leverage.
For users, it’s a reminder that the best defense isn’t perfect secrecy (breaches happen), it’s resilience: unique passwords, strong 2FA, and habits that make phishing unprofitable.
Bottom line
A leak of emails and phone numbers may sound “limited,” but it can still meaningfully increase your exposure to targeted phishing, smishing, and account takeover attempts elsewhere. Treat Substack’s notice as a prompt to harden the two systems that matter most: your email account and your login hygiene.
And if you see a sudden spike in “Substack security” messages, assume the incident has created a new scam wave — and don’t click first, verify first.
Sources
https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
https://lorichristian.substack.com/p/notice-of-data-breach
https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
SpaceX buys xAI: what Musk’s ‘super company’ means for AI, Starlink, and space-based data centers
Why the yacht industry is trying to quit teak — and what could replace it
A Substack incident exposed some users' email addresses and phone numbers. Here's why that still matters, the real risks (phishing, smishing, SIM swap), and a practical checklist.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
Türkçe