De hackers zouden toegang hebben gekregen tot de gegevens via clouddienst van Hewlett Packard Enterprises (HPE), waar de data waren opgeslagen. Op de opslagdienst zou voor 20 TB aan data zijn gevestigd, onder meer voor een app voor mensen met diabetes.

Naast HPE zijn volgens The Wall Street Journal ook clouddiensten van IBM, het Canadese CGI en het Finse Tieto getroffen. Op die manier zouden naast Philips onder meer verzekeraar Allianz en Deutsche Bank slachtoffer zijn geworden.

Philips zegt in een verklaring tegen The Wall Street Journal dat het bedrijf zich bewust is van de pogingen om bij het bedrijf binnen te dringen en dat deze pogingen zijn "aangekaart". Ook zegt het bedrijf dat bij de clouddienst van HPE geen patiëntgegevens zijn opgeslagen, worden beheerd of verplaatst.

Voor de operatie, die Cloud Hopper wordt genoemd, werden in december 2018 in de Verenigde Staten twee Chinezen aangeklaagd. Ook riep het land China op te stoppen met de aanvallen.

De twee mannen bevinden zich nog in China en het is onwaarschijnlijk dat zij worden uitgeleverd. Het Chinese ministerie van Buitenlandse Zaken noemde de aantijgingen "ongegrond". Als China de twee mannen zou uitleveren, zouden zij maximaal 27 jaar cel kunnen krijgen.