Los hechos tuvieron lugar a mediados de 2021 y fueron posibles gracias al hecho de que los delincuentes realizaron solicitudes de emergencia (utilizadas cuando está en peligro la vida de una persona) en lugar de una solicitud convencional, que requiere la aprobación de un juez. Para ello habrían accedido a los sistemas de e-mail de un departamento de policía y, a partir de ahí, cursar las solicitudes correspondientes.
El proceso sería relativamente trivial, como señalan The Verge y Krebs on Security, puesto que hay hackers que se dedican a vender este tipo de accesos precisamente con el propósito de realizar solicitudes de información espurias. Una vez superado este trámite, los atacantes falsifican la firma de un agente real o ficticio para usarla sobre una solicitud real convenientemente modificada.
De acuerdo con Bloomberg, los investigadores sospechan que detrás de estas acciones se encuentran varios menores del Reino Unido y Estados Unidos, uno de los cuales sería el líder del grupo Lapsu$, que recientemente ha sido noticia por sus ataques contra Nvidia, Microsoft, Samsung, Okta y otras compañías. Otro grupo implicado sería Recursion Team, que ya no se encuentra activo, y cuyos miembros (o al menos parte de ellos) habrían terminado recalando en Lapsu$.
Tanto Apple como Meta han señalado que todas las solicitudes que reciben son revisadas y que notifican aquellas cuentas que saben que están haciendo requerimientos ilícitos. Lo que no señalan es cuántas a solicitudes falsas respondieron. Según los datos oficiales, en 2020 Apple recibió 1.162 solicitudes de emergencia desde 29 países, de las cuales respondió al 93 %. Meta, por su parte, recibió 21.700 solicitudes de emergencia entre enero y junio de 2021, proporcionando información en el 77 % de los casos.