Atak został ujawniony przez anonimowego użytkownika, który w serwisie pastebin.com zamieścił informacje o podmienionym certyfikacie za pomocą którego szyfrowane są dane przesyłane między użytkownikiem a serwisem. Podmieniony certyfikat został wystawiony przez holenderską firmę DigiNotar, podczas gdy oryginalny certyfikat GMaila pochodzi z firmy Thawte.
Prawdopodobnie to irański rząd za pośrednictwem państwowych firm telekomunikacyjnych próbuje w ten sposób przechwytywać listy swoich obywateli. Ten typ ataku nazywa się atakiem przez pośrednika (man in the middle). Używając "fałszywych dokumentów" (sfałszowanego certyfikatu strony) atakujący przedstawia się użytkownikowi jako GMail i zapisuje wszystko co użytkownik odbiera i wysyła z serwera usługi. Podobna sztuczka realizowana w fizycznym świecie polegałaby na wysłaniu fałszywego kuriera po odbiór przesyłki, który wprawdzie dostarczy ją na miejsce, ale po drodze przejrzy zawartość.
Nie wiadomo dlaczego DigiNotar wystawiło fałszywy certyfikat. Firmy zajmujące się tą działalnością powinny weryfikować, czy zamówienia na certyfikaty pochodzą od prawdziwych właścicieli serwisów, tu najwyraźniej ta procedura zawiodła. Firma unieważniła certyfikat, a najnowsze wersje przeglądarek Chrome i Firefox zostały uzupełnione o zabezpieczenia przed sfałszowanym certyfikatem. Jednocześnie twórcy Firefoksa zdecydowali, że od następnej wersji, przeglądarka przestanie honorować wszystkie certyfikaty wystawione przez DigiNotar. Na stronie wsparcia Firefoksa ukazała się porada dla użytkowników [strona w języku angielskim], wyjaśniająca jak samodzielnie można wyłączyć honorowanie certyfikatów DigiNotar.
