Выяснилось, что часть пользователей подключалась к своим ящикам более чем с одной автономной системы Интернета (провайдер или другая организация). Как установили исследователи, в большинстве случаев это происходило с мобильных устройств или через VPN, но была обнаружена и аномалия: с одного датского IP-адреса происходил вход в большое число аккаунтов. Затем cookie этих сеансов, вероятно, после пересылки, использовались повторно с нескольких IP-адресов в США.
Исследователи предлагают следующее возможное объяснение. Некоторые провайдеры веб-почты блокируют аккаунт, как подозрительный, если в течение короткого времени в него заходят из разных стран. Пересылка краденого cookie сеанса позволила бы атакующим заходить в чужой аккаунт с другого IP, избегая обнаружения. Как полагают в Microsoft, наблюдаемое могло быть «тестовым прогоном» мошеннической схемы, так как аккаунты, в которых совершался вход, были похожи на созданные автоматическим способом.