Esta explicação alinha-se com a posição da Google, que, num comunicado, negou qualquer falha nos seus servidores, afirmando que a segurança das contas não foi comprometida a partir de uma intrusão na sua infraestrutura.

O incidente, embora não sendo uma violação direta dos sistemas da Google, representa um risco significativo para os utilizadores afetados.

Os especialistas alertam que os cibercriminosos podem utilizar estas credenciais em ataques de "credential stuffing", nos quais tentam aceder a múltiplas plataformas (bancos, redes sociais, etc.)

usando as combinações de e-mail e palavra-passe roubadas, explorando a prática comum de reutilização de senhas. Como medida de precaução, é recomendado que os utilizadores verifiquem se as suas contas foram comprometidas através do site "Have I Been Pwned", alterem as suas palavras-passe e ativem a autenticação de dois fatores (2FA) para uma camada adicional de segurança.