De data zijn afkomstig van de webserver van het universiteitsobservatorium. De Universiteit Leiden vermoedt dat Russische hackers de data hebben gestolen, vanwege de waarneming van Russische IP-adressen. Daarna hebben de inbrekers de data doorgespeeld of verkocht aan de hackgroep Arvin Club, die losgeld eist.

De cybercriminelen eisen 16 bitcoins (omgerekend 450.000 euro). Zij dreigen de gegevens te publiceren als ze niet worden betaald. Toch is de universiteit niet van plan om losgeld te betalen.

Volgens een woordvoerder van de Universiteit Leiden heeft Arvin Club enkele afbeeldingen op het darkweb geplaatst met e-mail- en huisadressen van de getroffen medewerkers. De universiteit zegt dat er "geen geboortedata of andere identificerende gegevens" zijn gelekt, wat identiteitsfraude moeilijker maakt.

De universiteit geeft in gesprek met het AD toe dat de server onvoldoende is beveiligd. Een half jaar geleden werd dezelfde server ook gehackt door een nog onbekende dader.

De aanval kwam niet in de publiciteit, maar de onderwijsinstelling heeft er wel melding van gemaakt bij de Autoriteit Persoonsgegevens. Het nieuwe incident is ook gemeld en de getroffen medewerkers zijn op de hoogte gebracht. Uit voorzorg zijn hun wachtwoorden gereset.