Segundo a empresa Trusted Sec., os dados foram obtidos do Yahoo! Voice, onde a informação e as senhas aparentemente não estavam criptografadas (dado não confirmado), permitindo o uso de SQL Injection para obter os dados.
Além das senhas, a informação vinha acompanhada pela seguinte mensagem do grupo de hackers:
Apenas estamos chamando a atenção, não é uma ameaça […] existem muitos problemas de segurança em servidores do Yahoo! e causaram muito dano, muito mais que esta divulgação […] Os subdomínios e outras variáveis não foram publicados para evitar maiores danos.
Via: Alt1040, arstechnica.com e trustedsec.com