Le 12 mai, les administrateurs chargés de la sécurité informatique du réseau universitaire ont découvert que le virus était entré sur le serveur grâce à cette vulnérabilité non corrigée et qu'ils n'ont pu colmater eux-mêmes. D'après leurs dires, ils ne pensent pas que le pirate informatique à l'origine de ce virus ait eu l'intention de voler ces informations personnelles mais qu'il cherchait plutôt à s'infiltrer dans d'autres ordinateurs du réseau
" Les paramètres de sécurité du serveur n'étaient pas correctement configurés et ses données sensibles n'étaient pas pleinement protégées " a déclaré Bobby Schnabel, principal adjoint en charge des technologies dans le campus. " Par la combinaison d'erreurs techniques et humaines, ces données personnelles ont été exposées, bien qu'il n'y ait pas de preuve qu'elles aient été acheminées vers l'extérieur ", a t-il ajouté.
Selon un porte-parole de la firme de sécurité Symantec, ses employés ont tenté de contacter l'équipe sécurité de l'université mais cette dernière ne lui a pas encore donné de détails sur l'attaque ni précisé quelle vulnérabilité était incriminée. Chaque étudiant a été averti par courrier de la situation et, selon Todd Gleeson, un doyen de la faculté, des mesures " ont été prises pour s'assurer que toutes les données personnelles soient supprimées des serveurs " incriminés.
