Платформа для рассылок Substack уведомила пользователей о выявленной утечке данных, в рамках которой были скомпрометированы адреса электронной почты, номера телефонов и служебные метаданные аккаунтов. По информации компании, атака произошла еще в октябре 2025 года, однако следы инцидента обнаружили только в начале февраля текущего года.
Масштаб инцидента Substack и позиция компании
Генеральный директор Substack Крис Бест в письме затронутым пользователям сообщил, что неавторизованная третья сторона получила доступ к «ограниченному набору пользовательских данных». Подчеркивается, что пароли, реквизиты банковских карт и иная финансовая информация не были затронуты, а компрометации учетных данных в явном виде не зафиксировано.
При этом на известном хакерском форуме BreachForums уже опубликован дамп, содержащий 697 313 записей, якобы относящихся к Substack. Автор публикации утверждает, что данные были собраны с помощью скрапинга (автоматизированного массового сбора информации с веб-сайтов) и отмечает, что «метод был шумным», поэтому уязвимость быстро прикрыли.
Какие данные могли попасть к злоумышленникам
По официальной версии Substack, в утечку вошли:
— адреса электронной почты пользователей платформы;
— номера телефонов, привязанные к аккаунтам;
— служебные метаданные — техническая информация о профилях и активности (например, время создания учетной записи, настройки подписок, параметры взаимодействия с платформой).
Хотя скомпрометированные сведения не включают логины и пароли в открытом виде, подобные наборы данных представляют значительную ценность для киберпреступников. Комбинация e‑mail, телефона и метаданных позволяет точнее профилировать пользователя и подготавливать таргетированные атаки, в первую очередь — фишинговые и социальную инженерию.
Скрапинг и уязвимость: что известно о методе атаки
Официально Substack не раскрывает технические детали инцидента и не уточняет, каким именно образом злоумышленник получил доступ к данным. Представители компании ограничились сообщением о том, что обнаруженная уязвимость уже устранена, а дополнительная проверка систем безопасности продолжается.
Сообщение на BreachForums указывает на использование скрапинга. В норме публичный скрапинг оперирует только открытыми данными (например, видимыми в профиле). Однако если ошибка в логике API, недостатки аутентификации или некорректные настройки прав доступа позволяют запрашивать более чувствительные сведения, массовый сбор превращается в полноценную утечку персональных данных.
Фраза злоумышленника о «шумном методе» может означать большое количество однотипных запросов к сервису за короткий промежуток времени. В зрелых системах безопасности подобная активность должна отслеживаться средствами мониторинга и реагирования, что подчеркивает важность поведенческой аналитики и журналирования запросов для онлайн‑платформ.
Риски для пользователей: фишинговые и смс‑атаки
Несмотря на отсутствие утечки паролей, последствия инцидента для пользователей потенциально существенны. На практике подобные наборы данных чаще всего используются для:
— фишинговых рассылок по e‑mail с подменой бренда Substack или конкретных авторов рассылок (newsletter‑ов);
— smishing‑атак (фишинг через SMS и мессенджеры) с попытками выманить одноразовые коды, данные карт или принудить перейти по вредоносной ссылке;
— усиления атак по социальной инженерии, когда злоумышленник опирается на накопленные метаданные, чтобы выглядеть более «убедительно» и осведомленно.
По данным отраслевых отчетов по кибербезопасности, значительная доля успешных взломов по‑прежнему начинается с фишинга и ошибок пользователей, а не с сложных технических эксплойтов. Поэтому даже «ограниченная» по типу данных утечка может стать триггером для новой волны атак.
Повторяющаяся проблема: прошлые инциденты Substack
Это не первая ситуация, когда в контексте Substack обсуждается безопасность данных пользователей. В июле 2020 года платформа допустила ошибку при рассылке уведомления о политике конфиденциальности: часть e‑mail‑адресов пользователей оказалась указана в поле «Кому» вместо «Скрытая копия» (BCC). В итоге получатели могли видеть адреса других подписчиков, что уже тогда поднимало вопросы о защите конфиденциальности.
Текущий инцидент, хотя и имеет иную природу, демонстрирует, насколько критично для сервисов массовых рассылок уделять внимание как технической защите, так и корректной обработке персональных данных.
Рекомендации по кибербезопасности для пользователей Substack
Пользователям Substack и аналогичных платформ имеет смысл принять ряд мер предосторожности, даже если пароли формально не пострадали:
— внимательно относиться к письмам и SMS, якобы отправленным от Substack, банков или популярных сервисов;
— не переходить по ссылкам из неожиданных сообщений, а открывать сайт сервиса вручную, через адресную строку браузера;
— включить двухфакторную аутентификацию (2FA) везде, где это возможно, и использовать уникальные, сложные пароли (желательно через менеджер паролей);
— отслеживать подозрительную активность по e‑mail и номеру телефона: новые регистрации, неожиданная рассылка спама от вашего имени и т.п.
Для самих онлайн‑сервисов инцидент с Substack служит напоминанием о важности регулярного тестирования безопасности API, внедрения систем обнаружения аномалий и организации прозрачного процесса уведомления пользователей об инцидентах.
История с утечкой данных Substack показывает, что даже без прямого компрометации паролей и платежной информации контактные данные и метаданные аккаунтов могут стать мощным инструментом в руках злоумышленников. В условиях роста фишинговых кампаний каждый пользователь и каждая платформа выигрывают от проактивного подхода к кибербезопасности: стоит регулярно обновлять свои знания, пересматривать настройки защиты и осторожно относиться к любым запросам, связанным с личными данными.
