Über Twitter lancierten die Unbekannten von dem Account „@_Orbit“ aus seit dem 1. Dezember häppchenweise die erbeuteten Daten. Angekündigt wurde die Aktion schon am 24. November („Seid gespannt, könnte für manche zu heftig werden“), beendet am 28. Dezember, außerhalb der Adventszeit, mit Daten von Jürgen Resch, Chef der Deutschen Umwelthilfe, die gegen Dieselabgase klagt. Erst durch einen Bericht des Berliner Senders RBB wurde die Aktion in der Nacht zum Freitag bekannt.

Schon kurz danach wurde der Twitter-Account gesperrt, auch bemühte sich das Bundesamt für die Sicherheit in der Informationstechnik (BSI) am Freitag darum, weitere Veröffentlichungen zu unterbinden. Doch kursieren die Daten bereits weltweit im Netz und auch unter Journalisten. Das Material ist von höchst unterschiedlicher Qualität und wirkt teils wie von Hand recherchiert. Von Bundeskanzlerin Angela Merkel gibt es zum Beispiel nur eine öffentlich zugängliche Telefonnummer und Mail-Adresse. Bei zahlreichen anderen Ministern und Abgeordneten des Bundestages und einiger Landtage erbeuteten und veröffentlichten die Täter aber Handy-Nummern, Privatadressen, private Mailaccounts, Kontonummern oder sogar Kontoauszüge und Personalausweisdokumente. Mit am schlimmsten traf es Grünen-Chef Robert Habeck, dessen Messenger-Chatverlauf mit seinen Kindern und seiner Frau zugänglich wurde. Inklusive Bildern.

Unter den Opfern des Hackerangriffs sind auch Bands und Künstler wie der Deutsch-Rapper Materia und die Band K.I.Z, Journalisten von ARD und ZDF sowie die Moderatoren Jan Böhmermann und Christian Ehring. Die Tatsache, dass die betroffenen Prominenten sich in der Vergangenheit fast alle besonders kritisch mit Rechtspopulisten auseinandergesetzt haben und dass die AfD als einzige nicht unter den betroffenen Parteien ist, deutet auf einen rechten Hintergrund der Hacker hin. Die sehr unterschiedliche Art und Qualität der Daten lässt vermuten, dass hier nicht ein Server mit einem professionellen Trojaner-Programm abgesaugt wurde, wie das 2016 im Bundestag geschah, damals vermutlich aus Russland. Sondern dass man die Betroffenen mit verschiedenen Mitteln und Zugängen angriff und die Veröffentlichung von langer Hand vorbereitete.

Das politische Berlin reagierte alarmiert. Die Bundesregierung wertete den Vorgang als „schwerwiegenden Angriff“, wie Justizministerin Katarina Barley (SPD) erklärte. „Die Urheber wollen Vertrauen in unsere Demokratie und ihre Institutionen beschädigen.“ Das nationale Cyber-Abwehrzentrum kam am Freitagmorgen zu einer Krisensitzung zusammen. Das Bundesamt für die Sicherheit der Informationssystem (BSI) teilte mit, das Regierungsnetz sei nach bisherigen Erkenntnissen nicht betroffen. SPD-Generalssekretärs Lars Klingbeil, der selbst auch stark betroffen ist, forderte eine schnelle Aufklärung. „Wer auch immer dafür verantwortlich ist, will Politikerinnen und Politiker einschüchtern“, sagte Klingbeil. Doch das werde nicht gelingen. Der SPD-Bundestagsabgeordnete Florian Post, sagte, er fühle sich wie ausgeliefert. „Ich bin ziemlich geschockt“. Von ihm waren unter anderem Kontoauszüge veröffentlicht worden. Allerdings sei mindestens eine der Dateien nicht echt gewesen. Auch die Bundesregierung warnte unter Hinweis auf möglicherweise untergeschobene Fälschungen vor jeglicher Verwendung der Daten. Das Justizministerium wies zudem darauf hin, dass bei einer Verbreitung Persönlichkeits- und Datenschutzrechte berührt sein könnten.

Hintergrund der Attacke könnten auch Scharmützel zwischen linken und rechten Netzaktivisten sein. Denn auch die AfD war schon von ähnlichen Angriffen betroffen. 2016 etwa veröffentliche eine Gruppe namens „Indymedia“ die Wohnadressen und Handy-Nummern aller 2100 Teilnehmer des AfD-Parteitages in Stuttgart, der damals noch ein offener Mitgliederparteitag war. Die Daten waren auf unbekanntem Weg gestohlen worden.