Nói đến lĩnh vực viết blog và sáng tạo nội dung có thu phí trong năm 2026, dù là bài viết, podcast hay video, Substack chắc chắn là cái tên đầu tiên được nhắc đến. Nền tảng này sở hữu khoảng 50 triệu người dùng hoạt động, trong đó có 5 triệu đăng ký trả phí. Tuy nhiên, Substack mới đây đã xác nhận rằng họ đã bị tấn công mạng.  

Substack hiện sở hữu khoảng 50 triệu người dùng, một "kho báu" dữ liệu khổng lồ đối với các tin tặc. Ảnh minh hoạ.

Trong tuần vừa qua, nhiều người dùng Substack đã nhận được email từ Giám đốc điều hành Chris Best. Việc nhận email từ lãnh đạo Substack vốn không phải điều xa lạ, nhưng nội dung bức thư ngày 4/2 từ CEO Chris Best đã khiến 50 triệu người đăng ký phải giật mình. Thay vì những nội dung kết nối cộng đồng như thường lệ, nội dung email lại mang đến một tin không vui: Dữ liệu cá nhân của người dùng đã bị tin tặc truy cập.

“Vào ngày 3/2, chúng tôi đã phát hiện bằng chứng cho thấy hệ thống của mình gặp sự cố,  cho phép bên thứ ba không được ủy quyền truy cập trái phép vào một phần dữ liệu người dùng”, ông Best xác nhận. Các thông tin bị rò rỉ bao gồm: địa chỉ email, số điện thoại và các siêu dữ liệu (metadata) nội bộ khác. 

Đáng chú ý, sự cố này dường như đã xảy ra từ tận tháng 10/2025. Điều này đặt ra dấu hỏi lớn về việc tại sao đội ngũ an ninh của Substack lại mất nhiều thời gian đến vậy mới phát hiện ra vụ việc. Phía Substack cho biết họ đang tiến hành điều tra toàn diện và "đang thực hiện các bước để cải thiện hệ thống nhằm ngăn chặn các sự cố tương tự". CEO Chris Best cũng khẳng định: “Số thẻ tín dụng, mật khẩu và thông tin tài chính không bị truy cập.”

Bình luận về vụ việc, ông Javvad Malik, chuyên gia nâng cao nhận thức bảo mật tại KnowBe4, nhận định với tôi rằng: "Dù việc thông báo minh bạch về các vụ rò rỉ là đáng hoan nghênh, nhưng các chi tiết được cung cấp hiện còn quá ít để người dùng có thể đánh giá đúng rủi ro và có biện pháp ứng phó cụ thể”.  Theo ông Malik, chỉ cần địa chỉ email và số điện thoại cũng đủ để kẻ xấu thực hiện các cuộc tấn công lừa đảo có chủ đích, chiếm đoạt SIM hoặc công khai thông tin cá nhân (doxxing). 

Về vấn đề thời gian phát hiện chậm trễ, chuyên gia này nhấn mạnh: "Nếu dữ liệu bị truy cập từ tháng 10/2025 mà đến nay mới công bố, đó là một khoảng thời gian tồn tại lỗ hổng (dwell time) rất lớn. Người dùng xứng đáng nhận được lời giải thích rõ ràng hơn về cách thức phát hiện vụ việc, hệ thống giám sát nào đã thất bại và quan trọng nhất là họ sẽ thay đổi điều gì sau sự cố này."

Phía Substack khuyến cáo người dùng nên “hết sức thận trọng với bất kỳ email hoặc tin nhắn văn bản nào có dấu hiệu khả nghi”. Nền tảng này cũng xác nhận lỗ hổng cho phép tin tặc xâm nhập hiện đã được khắc phục. Tuy nhiên, hiện vẫn chưa rõ nguyên nhân cụ thể của lỗ hổng là gì và chính xác có bao nhiêu người dùng đã bị ảnh hưởng.

Lệ Thanh (theo Forbes)