Hackeři podle oficiálních informací získali přístup k údajům o zákaznících a to v některých případech včetně jejich kontaktů a informacích o objednávkách. K úniku dat mělo dojít již v červnu, francouzský výrobce hardwarových peněženek ale celý únik dat uživatelské databáze přiznal až nyní.
Útočník měl přístup k datům získat zneužitím API klíče pro aplikace třetích stran a následným stažením e-commerce a marketingové databáze společnosti. Celým případem se od 17. července zabývá francouzská Commission nationale de l'informatique et des libertés (CNIL), tedy obdoba českého Úřadu pro ochranu osobních údajů. Přestože je únik dat poměrně rozsáhlý (přes milion kontaktů), podle společnosti unikly detailní osobní informace pouze v 9 500 případech.
Průnik byl možný díky chybě, která umožňovala přístup nástrojů třetích stran přímo do marketingové a e-commerce databáze společnosti prostřednictvím API klíče, který měl sloužit pro jiné účely. Na chybu v rámci bug bounty programu upozornil jeden z výzkumníků 14. července a byla relativně rychle odstraněna, útok samotný se ale odehrál již 25. června.