Par contre, McDonalds informe que des données comme le numéro de sécurité sociale, véritable pass aux Etats-Unis, n'avaient pas été dérobées. Les numéros de cartes de crédit ou « toute information sensible » auraient également été saufs.
Concrètement, la faille proviendrait d'un contractant de McDonalds, Arc Worldwide, qui n'aurait pas suffisamment protégé les données des clients. Un porte-parole du groupe a signalé qu'une « enquête était actuellement menée. Arc et McDonalds coopèrent activement avec les autorités concernées ».
Chacun tente donc de comprendre comment les hackers ont réussi à accéder aux données et à passer outre les sécurités mises en place par le groupe. McDonalds n'a pas non plus indiqué quelles personnes sont concernées par la perte d'informations.