En el ataque, los cibercriminales habrían accedido a los datos bancarios de los clientes que realizaron alguna compra a través de la web estadounidense de GameStop entre mediados de septiembre de 2016 y principios de febrero de 2017. Los datos robados incluirían números de tarjetas de crédito, fechas de validez y códigos de seguridad CVV (los 3 dígitos de la parte posterior de la tarjeta), según el citado medio, por lo que se habrían podido realizar compras fraudulentas utilizando esos datos.
GameStop, que ha admitido que está investigando cómo ha podido producirse la brecha, fue informado recientemente de que "los datos de pago de tarjetas de crédito utilizadas en el sitio web GameStop.com estaban siendo vendidos en otra página web", según declaraciones de un portavoz de la empresa.
La cadena de tiendas ha afirmado que para solucionar la situación ya ha contactado con "una firma de seguridad líder" y recomienda a sus clientes consultar la actividad de sus cuentas para revisar cualquier actividad sospechosa.
Al haber afectado a la web .com, el incidente en un principio habría afectado solamente a los clientes que han realizado compras a través de la página web de Estados Unidos, aunque la cadena cuenta también con tiendas en Europa. GameStop se ha disculpado y ha afirmado que lamenta "cualquier problema que esta situación pueda causar" a sus usuarios.