אולי פעם יפול למישהו האסימון - "תעודת אבטחה" אין בה משום אבטחה, ואפילו לא הבטחה לאבטחה. מה שיש בה זה עדות לכך שמישהו (מפתח התוכנה) שילם כסף למישהו אחר (מנפיק התעודה). זה כל מה שזה אומר - כסף עבר מיד ליד. מנפיק התעודה לא מבצע שום בדיקות על המפתח או על הקבצים הנחתמים - לא בהנפקה הראשונית, לא בחידוש תקופתי, ולא בהחתמה עצמה. נכון, זה התחיל מכוונה טובה; אבל מהר מאוד זה הדרדר לסחיטה בסגנון המאפיה: "שלום לך, מפתח יקר! אם לא תשלם לנו, אז לקוחות פוטנציאליים שינסו להשתמש בתוכנה שלך, יקבלו איומים. לא, לא מאיתנו, חס וחלילה, מה אנחנו פושעים? הודעות 'אזהרה' ממערכת ההפעלה כמובן!". לא ברור איך כל הסידור הזה לא נחשב פלילי. ולמגיב 1 - לא, המאגר הביומטרי לא צריך לחכות להתקפה מתוחכמת במיוחד כשדורשת גניבת תעודת אבטחה. כולם כבר יודעים איך הוא ידלוף (או כבר דלף), במלואו או בחלקו - מישהו מבפנים. למשל, שוטר שמקבל שכר מינימום שצריך השלמת הכנסה, או קצין שהטריד מינית (מי היה מאמין...) ונסחט ע"י עבריינים. הפירצה במאגר הביומטרי היא לא טכנולוגית. אוקי, נכון שיש גם פרצות טכנולוגיות בגודל של סיביר, אבל כרגיל במערכות ארגוניות, מדובר על הגורם האנושי.

הביטויים "romanian.antihacker" או "ugly.gorilla" הם רק נסיונות של התוקפים האמיתיים להסית את המטרה למישהו אחר, זה שמות של קבוצות או האקרים אחרים. הסוס הופעל על ידי שרת C&C ככל הנראה בלי מילות קוד משעשעות כאלה.