Die Staatsanwaltschaft Verden hatte dem BSI einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt. Nach technischer Analyse und Bereinigung durch das BSI verblieben einer Mitteilung zufolge rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen laut Domain deutsche E-Mail-Adressen. Deren Inhaber informiert das BSI in Zusammenarbeit mit den Anbietern Deutsche Telekom, Freenet, GMX, Kabel Deutschland, Vodafone und Web.de.
Zudem stellt das BSI wieder einen webbasierten Sicherheitstest zur Verfügung. Dieser ist unter https://www.sicherheitstest.bsi.de erreichbar. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.
Die digitalen Identitäten sind laut BSI im Rahmen eines laufenden Ermittlungsverfahrens gefunden worden. Mit den E-Mail-Adressen und den zugehörigen Passwörtern versuchen demnach Kriminelle mithilfe eines Botnetzes, sich in E-Mail-Accounts einzuloggen und diese für den Versand von Spam-Mails zu missbrauchen. Das Botnetz ist noch in Betrieb, die gestohlenen Identitäten werden aktiv ausgenutzt. Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Foren oder Sozialen Netzwerken handelt.