O que foi divulgado
O invasor afirma ter roubado cerca de 700.000 registros de usuários da plataforma Substack, contendo, segundo a alegação, endereços de e‑mail e números de telefone. A matéria original informa apenas essa reivindicação e não detalha elementos técnicos do incidente.
Dados expostos e riscos imediatos
Se a alegação se confirmar, o conjunto de dados — composto por e‑mails e telefones — tem valor alto para operações de engenharia social, phishing direcionado e campanhas de SIM swap. Não há, contudo, confirmação pública sobre senhas, tokens de autenticação ou outros dados sensíveis.
O que ainda não foi informado
- Não está claro quantos registros foram verificados de forma independente nem se há amostras publicadas pelo invasor que permitam auditoria.
- Não há informação disponível — no material base — sobre quando o incidente ocorreu, vetores de ataque, ou se houve exfiltração via acesso a bancos de dados internos.
- A Substack não forneceu, no trecho disponível, declaração técnica detalhada ou cronologia pública que permita avaliar responsabilidade e remediação.
Recomendações para organizações e usuários
- Usuários: suspeitar de comunicações não solicitadas, evitar clicar em links em mensagens inesperadas e reforçar autenticação onde disponível (MFA).
- Empresas que usam listas de e‑mail: validar procedência de registros e monitorar sinais de abuso (spam, campanhas de phishing dirigidas a colaboradores).
- Substack: publicar indicadores e comunicado técnico com escopo, métodos e medidas de contenção adotadas, para que parceiros e CSIRTs possam criar regras de detecção.
Conclusão
O relato inicial aponta para um vazamento de escala relevante, mas há lacunas factuais que exigem verificação independente. Até que a Substack ou investigadores publiquem evidências técnicas ou auditoria, a comunidade deve tratar a reivindicação como alerta e adotar medidas de mitigação preventiva.