Substack bestätigt großes Datenleck bei Nutzerkonten

Die Newsletter-Plattform Substack hat ein schweres Datenleck bestätigt. Ein unbefugter Drittpartei gelangte bereits im Oktober 2025 an E-Mail-Adressen, Telefonnummern und weitere Metadaten von Nutzern. Das Unternehmen entdeckte den Vorfall erst fast vier Monate später, Anfang Februar 2026, und informiert seit dieser Woche die Betroffenen.

Was genau wurde gestohlen?

Bei dem Angriff wurden sensible Kontaktdaten erbeutet. Substack spricht von „internen Metadaten“, ohne diese genauer zu spezifizieren. Die Plattform gibt zwar keine offizielle Zahl bekannt, doch in Hackerforen tauchte ein Datensatz mit angeblich fast 700.000 Nutzerprofilen auf. Dieser soll enthalten:
* E-Mail-Adressen
* Telefonnummern
* Namen
* Nutzer-IDs

Das Unternehmen betont, dass keine Passwörter oder Finanzdaten wie Kreditkartennummern kompromittiert wurden. Bisher gebe es auch keine Hinweise auf einen aktiven Missbrauch der gestohlenen Informationen.

Weil E-Mail-Adressen und Telefonnummern aus Datenlecks schnell für gezielte Phishing-Angriffe missbraucht werden, sollten Sie jetzt aktiv werden. Das kostenlose Anti-Phishing-Paket liefert eine klare 4‑Schritte-Anleitung, zeigt aktuelle Taktiken wie CEO‑Fraud oder gefälschte SMS und enthält praxisnahe Checklisten für sofortige Gegenmaßnahmen. Ideal für Privatpersonen und Unternehmen, die schnell ihren Schutz verbessern wollen. Mit fertigen Vorlagen für Mitarbeiterbriefings, E‑Mail‑Checks und technischen Basismaßnahmen, die sich sofort umsetzen lassen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Warum dauerte die Entdeckung so lange?

Die Sicherheitslücke wurde laut einer vom CEO Chris Best unterzeichneten Mitteilung erst am 3. Februar 2026 entdeckt – obwohl der unbefugte Zugriff schon im Oktober 2025 stattfand. Substack hat die Schwachstelle inzwischen geschlossen und eine umfassende Untersuchung eingeleitet.

Die fast viermonatige Unentdecktheit wirft ernste Fragen zur Effektivität der Überwachungssysteme auf. Für Nutzer bedeutet dies: Ihre Daten könnten bereits lange in kriminellen Netzwerken zirkulieren.

Welche Gefahren drohen Nutzern jetzt?

Obwohl keine Passwörter gestohlen wurden, ist die Gefahr real. Mit E-Mail-Adressen und Telefonnummern können Angreifer gezielte Phishing-Kampagnen starten.

Sicherheitsexperten raten Betroffenen zu erhöhter Wachsamkeit:
* Seien Sie misstrauisch gegenüber unerwarteten E-Mails oder SMS, die auf den Vorfall Bezug nehmen.
* Klicken Sie keine verdächtigen Links an und öffnen Sie keine Anhänge von unbekannten Absendern.
* Solche Nachrichten könnten versuchen, an weitere persönliche Daten wie Anmeldeinformationen zu gelangen.

Ein Reputationsrisiko für die Vertrauensplattform

Der Vorfall trifft Substack an einer empfindlichen Stelle. Die Plattform baut auf das direkte Vertrauen zwischen Autoren und ihren Abonnenten. Ein Datenleck dieser Größenordnung und mit einer derart langen Entdeckungszeit kann dieses Vertrauen nachhaltig beschädigen.

Substack steht nun vor der Aufgabe, nicht nur die technische Sicherheit zu verbessern, sondern auch durch transparente Kommunikation das verlorene Vertrauen zurückzugewinnen. Die Debatte um angemessene Datenschutzstandards bei Creator-Plattformen dürfte dieser Fall neu anheizen.