Die Zugangsdaten wurden laut Bundesinnenministerium über kompromittierte private Endgeräte der Nutzer abgegriffen, nicht über BA-Systeme. Von den manipulierten Konten befanden sich vier in aktivem Leistungsbezug. Nach bisherigem Kenntnisstand entstand jedoch kein Schaden – die BA deaktivierte alle betroffenen Profile rechtzeitig und verhinderte unrechtmäßige Zahlungen.
Die Arbeitsagentur erstattete Strafanzeige und holte Polizei, Bundesdatenschutzbeauftragte und das Bundesamt für Sicherheit in der Informationstechnik ins Boot. Ob Organisierte Kriminalität dahintersteckt, ist unklar. Als Konsequenz führte die BA verschärfte Sicherheitsmaßnahmen ein: Seit 24. April sind IBAN-Änderungen nur noch mit BundID möglich, seit 29. April ist Zwei-Faktor-Authentifizierung für alle Online-Accounts verpflichtend. Zuvor war die Mehr-Faktor-Authentifizierung nur empfohlen worden. Während der technischen Wartung mussten Betroffene ihre Anträge vorübergehend in den örtlichen Dienststellen stellen.