De politie had de aanbevolen maatregelen om risico's bij het gebruik van Microsoft 365 te verminderen niet volledig geïmplementeerd toen het in 2024 werd gehackt. Dit meldt de politie aan Follow the Money. Aanvallers gebruikten een pass-the-cookie-aanval, waarschijnlijk via infostealer-malware, om inloggegevens van een M365-account te bemachtigen. Hierdoor konden ze de global address list van Outlook en andere gegevens van 62.000 politieagenten stelen.

Voor de overstap naar M365 voerde de politie een risicoanalyse uit. Deze analyse, mede gebaseerd op inlichtingenonderzoek, waarschuwde voor de 'inherente' risico's van cloudgebruik. Vooral statelijke actoren zouden geïnteresseerd zijn in toegang tot de cloudomgeving. De politie kreeg het advies om Microsofts clouddienst alleen te gebruiken na het nemen van diverse maatregelen om de belangrijkste risico's te beperken. De politie erkent tegenover FTM dat niet alle maatregelen ten tijde van de hack volledig waren uitgevoerd. "Niet alle maatregelen waren volledig geïmplementeerd tijdens het incident," aldus de politie. Deze maatregelen hadden de aanval mogelijk moeilijker kunnen maken en eerder kunnen laten opmerken. Welke maatregelen precies ontbraken, wil de politie niet onthullen vanwege veiligheidsredenen. Ook worden de specifieke risico's niet gedeeld. Uit documenten die FTM heeft opgevraagd, blijkt dat de politie na het incident maatregelen heeft genomen, zoals het uitschakelen van inactieve mailaccounts en het instellen van sterkere wachtwoorden.