Ob dieselbe Person auch für ein Eindringen in die betroffenen Portale verantwortlich ist, ließ die Polizei in ihrer Mitteilung offen. INCIBE hatte bereits im Februar über eine laufende Doxing-Operation berichtet und dabei betont, dass es keine direkte Kompromittierung der eigenen Systeme gegeben habe. Stattdessen seien gezielt Daten gesammelt und veröffentlicht worden, die zentrale Einrichtungen und deren Beschäftigte betrafen.

Als mögliche Quellen für solche Daten nennt der Bericht ältere Sicherheitsvorfälle, geleakte Zugangsdaten und OSINT-Werkzeuge. Das Material wurde demnach zusammengeführt und miteinander verknüpft, um daraus aufbereitete Sammlungen zu erstellen. Einige der veröffentlichten Datensätze enthielten Berichten zufolge veraltete Informationen – darunter sogar die Namen von Mitarbeitern, die INCIBE bereits Jahre zuvor verlassen hatten.

Verantwortlich für das Leck war laut den Angaben die Gruppe „Police-ESP-Doxed", die die Daten in einer der damals verfügbaren Ausgaben von BreachForums veröffentlichte.

Später wurden im März die persönlichen Daten von Hunderten spanischen Richtern und Staatsanwälten auf Doxbin veröffentlicht. Dazu zählten vollständige Namen, DNI-Nummern, private Mobilfunknummern und dienstliche E-Mail-Adressen.

Die Polizei wertet die beschlagnahmten Geräte derzeit auf Hinweise zu weiteren Beteiligten aus. Weitere Festnahmen sind daher möglich.