運営会社のバンダイナムコフィルムワークスは同年11月6日、一部会員が意図せず退会処理される不具合を確認し、個人情報漏洩の可能性もあるとして、緊急措置として全サービスを一時停止した。
同社は11月19日付の公式発表で、漏洩のおそれがある個人情報として、メールアドレス、ニックネーム、バンダイナムココイン残高情報、会員が選択した支払い方法の4項目を挙げ、ログインパスワードやクレジットカード番号など不正決済に直結する情報は含まれていないと説明した。
その後、最大136.6万件のデータが漏洩した可能性があると公表された。サービス停止期間中の利用料金については返金対応が取られている。
警視庁サイバー犯罪対策課は通信記録などの捜査を進める中で少年が浮上し、26年6月13日、まず不正アクセス禁止法違反の疑いで逮捕した。この時点で少年は捜査員に対し、「通信解析をしていたら、偶然会員情報が見えた」と説明していたという。その後、偽計業務妨害の疑いで7月6日までに再逮捕された。
少年は会員のIDとパスワードがなくてもサイト上からログインできる方法を見つけたのち、ChatGPTを使って自作したプログラムで退会処理ページに侵入した。被害に気づいた同社がアクセス遮断などの対策を取った後も、少年は約30回にわたり自身の接続元IPアドレスを変更しながら退会処理を続けていたという。
少年の通信履歴からは、会員のメールアドレスや支払い方法、ニックネームなどを入手するプログラムを実行した形跡も見つかっているが、悪用された形跡はないとのことだ。少年は小学4年の頃からパソコンを使い始め、独学でプログラミングを学んでいたとみられている。
立て続けに発生した快活CLUBへの攻撃
快活CLUBへの攻撃は2件ある。報道によると、1つ目は25年1月に発生した。25年1月18日から20日にかけて、「快活CLUB」の運営会社「快活フロンティア」のサーバーに対し、会員情報を取得する不正な指令が720万回以上送信され、公式アプリの機能の一部が停止に追い込まれた。

