【安全资讯】Substack数据泄露事件：用户邮箱与电话号码遭窃

概要：

知名新闻通讯平台Substack近日披露了一起数据泄露事件，攻击者于2025年10月非法获取了部分用户的电子邮件地址和电话号码。尽管事件发生已过去四个月，但平台直至本周才发现这一安全漏洞。此次事件凸显了数字平台在用户数据保护方面面临的持续挑战，并可能引发针对受影响用户的网络钓鱼攻击风险。

主要内容：

Substack首席执行官Chris Best在致受影响用户的邮件中确认，公司于2月3日发现系统存在漏洞，导致未经授权的第三方在去年10月访问了有限的用户数据，包括邮箱、电话号码及其他内部元数据。他强调，信用卡号、密码及财务信息未被触及。

尽管Substack未公布具体受影响用户数量，但本周一已有威胁行为者在BreachForums黑客论坛泄露了一个据称包含697,313条被盗记录的数据库。泄露者声称数据是通过“嘈杂且被快速修补”的爬取方法获取的。

平台表示已修复被利用的漏洞，并警告用户警惕利用被盗信息进行的潜在钓鱼攻击。Best建议用户对收到的可疑邮件或短信保持额外警惕。这并非Substack首次出现数据暴露问题，2020年7月其曾因在隐私政策更新邮件中将用户邮箱置于“收件人”而非“密送”栏而意外泄露信息。

自2017年上线以来，Substack已成为独立记者和内容创作者的重要平台，截至2025年3月其付费订阅量已达500万。此次事件再次为依赖用户数据的科技公司敲响了安全警钟。