Habár a Sony néhány napja hivatalosan is elismerte, hogy crackerek feltörték a PlayStation Network, illetve a Qriocity rendszerét, és megszerezték a körülbelül 75-77 millió felhasználó sokféle személyes adatát, azt határozottan kijelentették, hogy arra nincs bizonyíték, hogy kártyaadatokhoz is hozzájutottak volna. A mind nagyobbra dagadó botrány hullámait a New York Times egy cikke korbácsolta tovább, amelyben arra hívják fel a figyelmet, hogy az internetes bűnözők fórumainak tanúsága szerint az ellopott adatok egy részét már áruba is bocsátották.
Az újságíró biztonsági szakembereket nevez meg forrásként, akik a nem hivatalos fórumokat figyelemmel kísérve azt olvasták, hogy 2,2 millió kártyaadat biztosan a crackerekhez került. A Trend Micro vezető kutatója, Kevin Stevens azt állítja, hogy a megszerzett adatbázisokban olyan személyes információk vannak, melyekért a támadók akár százezer dollár is kérhetnek, és azt is hozzátette, hogy fórumok szerint a betörők a Sonynak is felajánlották az adatokat, de a cég nem válaszolt a megkeresésre. Ez utóbbi állítást a vállalat egyik vezetője cáfolta, mondván, nincs tudomásuk ilyen megkeresésről.
Ugyanakkor, jegyzi meg Times cikke, bár több biztonsági szakember is megerősítette ezt az információt, a valódiságát, vagyis, hogy valóban a támadók írták a bejegyzéseket, illetve valóban megszerezték ezeket az adatokat, jelenleg még nem lehet ellenőrizni.
A Sony azt is közölte, hogy a kártyaadatok táblája titkosítva voltak, ám Mathew Solnik, a hackerfórumokat monitorozó iSEC Partners biztonsági tanácsadója szerint ha igaz a crackerek állítása, hogy a fő adatbázisba jutottak be, akkor a titkosítás nem számít, mivel akkor teljes hozzáférésük volt.