Die Newsletter‑Plattform Substack hat ihre Nutzer über eine Datenpanne informiert, bei der E‑Mail-Adressen, verknüpfte Telefonnummern und technische Metadaten von Accounts abgeflossen sind. Der Angriff fand bereits im Oktober 2025 statt, wurde jedoch erst Anfang Februar des laufenden Jahres entdeckt – ein zeitlicher Verzug, der die potenziellen Risiken für Betroffene deutlich erhöht.
Substack Datenleck: Umfang und bisher bekannte Fakten
Laut Substack‑CEO Chris Best hatte eine unautorisierte dritte Partei Zugriff auf einen „begrenzten Satz von Nutzerdaten“. Nach Angaben des Unternehmens wurden keine Passwörter, Kreditkartendaten oder sonstige Zahlungsinformationen kompromittiert, und es liegen bislang keine Hinweise auf eine direkte Übernahme von Konten vor.
Parallel dazu ist auf dem einschlägig bekannten Forum BreachForums ein Datensatz mit 697.313 angeblichen Substack‑Einträgen aufgetaucht. Der Betreiber des Angebots gibt an, die Informationen per Scraping gewonnen zu haben – also durch automatisiertes massenhaftes Auslesen von Web‑ oder API‑Inhalten – und beschreibt die Methode selbst als „laut“, was auf eine große Zahl gleichförmiger Anfragen in kurzer Zeit hindeutet.
Substack bestätigt, dass folgende Kategorien von Informationen betroffen sein können:
— E‑Mail-Adressen registrierter Nutzer;
— mit Accounts verknüpfte Telefonnummern;
— dienstliche Metadaten, etwa Zeitpunkte der Kontoerstellung, Einstellungen von Abonnements oder Interaktionsparameter mit der Plattform.
Auch wenn keinerlei Passwörter im Klartext vorliegen sollen, ist die Kombination aus E‑Mail-Adresse, Telefonnummer und Metadaten für Angreifer wertvoll. Sie ermöglicht das feine Profiling einzelner Personen und ebnet den Weg für zielgerichtete Social‑Engineering‑Kampagnen.
Angriffsmethode: Von Scraping zum Datenschutzvorfall
Scraping, API-Fehler und Zugriffskontrollen
Offiziell hält sich Substack zu den technischen Details bedeckt und bestätigt lediglich, dass eine identifizierte Schwachstelle geschlossen wurde und weitergehende Sicherheitsprüfungen laufen. Die Darstellung auf BreachForums legt jedoch nahe, dass Scraping in Verbindung mit einer fehlerhaften Zugriffskontrolle eine zentrale Rolle spielte.
Unter normalem Umständen erfasst Scraping nur öffentlich sichtbare Daten, zum Beispiel frei zugängliche Profilinformationen. Kritisch wird es, wenn Fehler in der API‑Logik, schwache Authentifizierungsmechanismen oder falsch konfigurierte Berechtigungen es erlauben, über dieselben Schnittstellen auch nicht-öffentliche Daten im großen Stil abzufragen. Dann wird aus einem technisch simplen Verfahren ein vollwertiger Datenschutzvorfall.
„Laute“ Angriffe als Belastungstest für Monitoring
Die Beschreibung des Angriffs als „laut“ deutet auf viele automatisierte Requests in kurzer Zeit hin. In reifen Sicherheitsarchitekturen werden solche Muster durch Verhaltensanalysen, Rate‑Limiting und detailliertes Logging erkannt und blockiert. Dass die Aktivitäten offenbar über einen längeren Zeitraum möglich waren, unterstreicht die Bedeutung von Security Monitoring, API‑Telemetrie und automatisierten Alarmierungsprozessen für Online‑Plattformen.
Branchenberichte wie der Verizon Data Breach Investigations Report 2023 zeigen zudem, dass technische Schwachstellen häufig erst dann entdeckt werden, wenn sie bereits aktiv ausgenutzt wurden. Das macht kontinuierliche Penetrationstests, API‑Security‑Audits und Red‑Teaming‑Übungen zu zentralen Bausteinen moderner Cybersecurity‑Strategien.
Konkrete Risiken: Phishing, Smishing und Social Engineering
Auch ohne Passwortdiebstahl ist der Vorfall sicherheitsrelevant. In der Praxis dienen Datensätze wie der vermeldete Substack‑Dump typischerweise als Grundlage für:
— Phishing‑Kampagnen per E‑Mail, bei denen Angriffe im Namen von Substack oder populären Newsletter‑Autoren erfolgen, um Nutzer auf gefälschte Login‑Seiten zu locken;
— Smishing‑Angriffe (Phishing via SMS oder Messenger), bei denen unter Vorwand einer Kontosperre oder Zahlungsproblematik Einmalcodes, Kartendaten oder andere sensible Informationen abgefragt werden;
— erweiterte Social‑Engineering‑Angriffe, bei denen Angreifer Metadaten – etwa bekannte Newsletter‑Abos oder übliche Kontaktzeiten – nutzen, um glaubwürdiger aufzutreten.
Laut dem Verizon DBIR 2023 sind bei rund 74 % der Sicherheitsvorfälle menschliche Faktoren wie Phishing oder Fehlbedienung beteiligt. Die Substack‑Panne reiht sich damit in ein bekanntes Muster ein: Selbst scheinbar „begrenzte“ Datensätze können als Katalysator für erfolgreiche Angriffe dienen.
Substack unter Beobachtung: Frühere Sicherheitsvorfälle
Substack stand bereits zuvor wegen Datenschutzfragen in der Kritik. Im Juli 2020 wurden im Rahmen einer Benachrichtigung zur überarbeiteten Datenschutzrichtlinie E‑Mail-Adressen von Empfängern versehentlich ins „An“-Feld statt als Blindkopie (BCC) gesetzt. Dadurch konnten Nutzer die Adressen anderer Abonnenten einsehen – ein klassischer, aber folgenreicher Bedienfehler.
Der aktuelle Vorfall unterscheidet sich technisch deutlich, macht jedoch deutlich, dass Datenschutz und Informationssicherheit bei Massenmailing‑Diensten ganzheitlich gedacht werden müssen: von korrekten Prozesseinstellungen im E‑Mail‑System bis hin zu hart gehärteten APIs und kontinuierlichem Sicherheitsmonitoring.
Sicherheitsempfehlungen für Nutzer von Newsletter-Plattformen
Nutzer von Substack und ähnlichen E‑Mail‑Marketing‑Plattformen sollten unabhängig von den Aussagen des Anbieters einige grundlegende Schutzmaßnahmen umsetzen:
— Misstrauen bei unerwarteten Nachrichten: E‑Mails oder SMS, die angeblich von Substack, Banken oder großen Plattformen stammen, sollten kritisch geprüft werden, insbesondere wenn sie zur Eingabe von Zugangsdaten oder Codes auffordern.
— Keine Links aus Nachrichten anklicken: Statt auf eingebettete Links zu klicken, sollte die Webadresse des Dienstes manuell in die Browser‑Adresszeile eingegeben werden.
— Konsequente Nutzung von Zwei-Faktor-Authentifizierung (2FA): Wo immer möglich, 2FA aktivieren und für jeden Dienst einzigartige, komplexe Passwörter über einen Passwortmanager verwalten.
— Auf Auffälligkeiten achten: Ungewöhnliche Kontoaktivität, neu auftretende Anmeldungen, vermehrter Spamversand vom eigenen E‑Mail‑Konto oder unerwartete SMS‑Codes sollten umgehend überprüft und im Zweifel dem Anbieter gemeldet werden.
Auch Dienstbetreiber sind gefordert: Der Vorfall zeigt, wie wichtig regelmäßige API‑Sicherheitstests, Anomalieerkennung und transparente Incident‑Response‑Prozesse sind, um das Vertrauen der Nutzer zu erhalten.
Die Substack‑Datenpanne macht erneut deutlich, dass Kontaktinformationen und Metadaten auch ohne Passwort- oder Zahlungsdaten ein attraktives Angriffswerkzeug für Cyberkriminelle darstellen. Wer Newsletter‑Dienste nutzt – ob als Autor oder Abonnent –, sollte seine Sicherheitsbasis stärken: Wissen über Phishing aktuell halten, 2FA flächendeckend einsetzen, Passwörter sauber trennen und sensibel mit jeder Anfrage umgehen, die persönliche Daten betrifft. So lassen sich die Folgen auch größerer Datenlecks deutlich abmildern.
