Die neue, niedrigere Zahl lässt sich nach Einschätzung möglicherweise damit erklären, dass die zuvor von einzelnen Banken und Kreditgenossenschaften gemeldeten Werte überlappten: Kunden mit Konten bei mehreren Instituten könnten dabei mehrfach gezählt worden sein. Wenn 672.000 die tatsächliche Zahl der Betroffenen ist, würde dies die deutlich höheren früheren Schätzungen relativieren.

Zum Hergang des Angriffs erklärte Marquis bereits zuvor, die Täter hätten eine Schwachstelle in einer SonicWall-Firewall ausgenutzt. Um den Zeitpunkt herum, zu dem das Unternehmen den Angriff entdeckte, hatte die Ransomware-Gruppe Akira ihre Ausnutzung von Schwachstellen in SonicWall-Firewalls verstärkt.

Zur Urheberschaft des Angriffs hat sich bislang keine Cybercrime-Gruppe bekannt. Comparitech berichtete allerdings zuvor, dass eine inzwischen entfernte Datenschutzmeldung einer Kreditgenossenschaft aus Iowa offengelegt habe, dass Marquis ein Lösegeld gezahlt habe. Diese Behauptung hat das Fintech-Unternehmen bislang nicht bestätigt.

Auf eine entsprechende Anfrage von SecurityWeek, die Angabe zu bestätigen oder zu dementieren, reagierte Marquis zunächst nicht.