Cộng đồng công nghệ và giới nghệ sĩ đang bàng hoàng tột độ trước tuyên bố của nhóm hacker tự xưng "Anna's Archive". Nhóm này khẳng định đã thực hiện trót lọt việc sao chép và đánh cắp một khối lượng dữ liệu khổng lồ lên tới 300 TB từ máy chủ của Spotify. Cuộc tấn công này không đánh vào các dữ liệu rác mà nhắm thẳng vào "trái tim" của nền tảng: 86 triệu bài hát đã bị lấy đi.
Đáng sợ hơn, phân tích cho thấy số lượng bài hát này chiếm tới 99,9% tổng lượt nghe trên toàn hệ thống, đồng nghĩa với việc gần như mọi bản hit, mọi ca khúc mà người dùng thế giới đang nghe hàng ngày đều đã nằm gọn trong tay tin tặc.
Điều này đồng nghĩa với việc gần như toàn bộ các tác phẩm âm nhạc thực sự được người dùng quan tâm, tìm kiếm và thưởng thức đều đã rơi vào tay nhóm hacker này.
Dữ liệu bị rò rỉ bao gồm các tệp âm thanh định dạng OGG Vorbis (chất lượng 160 kbps hoặc 75 kbps) cùng một kho tàng siêu dữ liệu (metadata) khổng lồ. Nhóm hacker thậm chí đã tái tạo lại toàn bộ cấu trúc API của Spotify, nắm giữ thông tin chi tiết của 186 triệu bản ghi âm, mã ISRC và bìa album. Trước sự cố nghiêm trọng này, đại diện Spotify đã chính thức xác nhận về lỗ hổng an ninh, cho biết một bên thứ ba đã thu thập siêu dữ liệu công khai và sử dụng các thuật toán bất hợp pháp để vượt qua hàng rào bảo vệ bản quyền số (DRM) nhằm truy cập trái phép các tệp âm thanh. Hiện tại, nền tảng này đang tích cực phối hợp xử lý vụ việc.
Nhóm Anna's Archive, vốn quen thuộc trong giới xuất bản lậu với hàng triệu cuốn sách bị phát tán trước đây, lần này đưa ra lý do tấn công Spotify là để "bảo tồn di sản âm nhạc". Họ lập luận rằng nền tảng này đang quá đặt nặng lợi nhuận và ưu tiên các nghệ sĩ nổi tiếng mà bỏ quên giá trị lưu trữ văn hóa lâu dài. Nhóm này tuyên bố mục tiêu là tạo ra một "danh sách torrent chính thức" đại diện cho tất cả âm nhạc từng được sản xuất để đảm bảo chúng không bị thất lạc. Hiện tại, toàn bộ siêu dữ liệu đã được công khai, trong khi các tệp nhạc đang dần bị phát tán qua mạng lưới Torrent dưới định dạng nén riêng biệt, đặt ra thách thức pháp lý và tài chính khổng lồ cho Spotify cũng như các hãng thu âm toàn cầu.
Trước tính chất nghiêm trọng của sự việc, vào tối ngày 22/12/2025, Spotify đã chính thức đưa ra phản hồi cập nhật thông qua Android Authority. Nền tảng này xác nhận đã xác định và vô hiệu hóa các tài khoản người dùng độc hại tham gia vào hành vi thu thập dữ liệu trái phép, đồng thời triển khai các biện pháp bảo vệ mới để chống lại các cuộc tấn công tương tự. Spotify khẳng định họ đã phát hiện một bên thứ ba sử dụng thủ đoạn bất hợp pháp để vượt qua hệ thống bảo vệ bản quyền số (DRM), tuy nhiên, công ty nhấn mạnh rằng chỉ có "một số" tệp âm thanh bị truy cập, trái ngược hoàn toàn với con số 99,6% tổng lượt nghe mà nhóm Anna's Archive công bố.
Hiện tại, vẫn còn sự chênh lệch lớn giữa công bố của hai bên về quy mô thiệt hại thực tế. Trong khi Spotify nỗ lực trấn an dư luận và khẳng định đang sát cánh cùng cộng đồng nghệ sĩ để bảo vệ quyền lợi người sáng tạo, thì phía Anna's Archive vẫn tiếp tục thách thức bằng việc nắm giữ lượng dữ liệu khổng lồ. Vụ việc vẫn đang được tiếp tục theo dõi sát sao khi các bên liên quan đang tích cực xử lý hậu quả của lỗ hổng an ninh này.
