O vazamento aconteceu no repositórios de arquivos do mastodon.social.
A listagem de arquivos ficou pública e qualquer um podia baixar e navegar pelos arquivos. A maioria dos dados já eram públicas como fotos de avatar e anexos e não são identificaveis por um email ou id.
—
É muito fácil configurar um S3 (repositório de arquivos) errado e tudo virar público, inclusive o webservice Apache vazia (ou ainda faz) por padrão. Com o surgimento de tantas instâncias, é bem interessante escolher bem quem está gerenciando.
E foi logo na instância que minha conta principal se encontra. Pelo menos não ocorreu um vazamento de dados privados tipo email, ip e etc.