Hôm thứ Sáu 1/4/2011, hãng bảo mật RSA Security xác nhận, vụ hack công ty hồi tháng trước xuất phát từ việc khai thác một lỗ hổng chưa được vá trong Adobe Flash Player.
Theo RSA, những kẻ tấn công đã lấy được quyền truy cập vào mạng của hãng bằng cách gửi cho 2 nhóm nhỏ nhân viên e-mail đính kèm bảng tính Excel. Một trong những nhân viên đó đã mở file đính kèm có tên "2011 Recruitment plan.xls" (Kế hoạch tuyển dụng 2011).
Bảng tính này có chứa file Flash nhúng khai thác lỗ hổng "zero-day" - lỗi Adobe không biết, và do đó chưa được vá - cho phép tin tặc “trưng dụng” PC của nhân viên.
Từ đó, những kẻ tấn công cài đặt một phiên bản tùy biến của công cụ quản trị từ xa (RAT) Poison Ivy trên các máy tính bị xâm nhập. Qua RAT, tin tặc khai thác thông tin đăng nhập của người sử dụng truy cập vào các máy khác trong mạng RSA, tìm kiếm và sao chép thông tin nhạy cảm, sau đó chuyển dữ liệu đến các máy chủ bên ngoài do chúng kiểm soát.
Mặc dù RSA không cho biết chi tiết những gì đã bị đánh cắp, họ thừa nhận rằng thông tin liên quan đến các sản phẩm xác thực theo hai nhân tố (two-factor authentication) SecurID của công ty là một phần trong những gì tin tặc “kiếm được”.
Lần đầu tiên RSA thông báo về tấn công và đánh cắp dữ liệu là cuối ngày thứ Năm 17/3/2011. Tuy nhiên, tấn công có thể đã xảy ra từ vài ngày trước.
Hôm 14/3/2011, Adobe đã phát hành một bản tư vấn bảo mật thừa nhận rằng, những kẻ tấn công đang khai thác một lỗi chưa được vá trong Flash Player bằng cách sử dụng các tài liệu Excel “có độc”. Đến hôm thứ Hai 21/3/2011, Adobe đã vá lỗ hổng này.