Nie doszło do żadnego włamania ani wykorzystania luki w zabezpieczeniach Google – sprawcy nadużyli dostępnej dla każdego funkcji „Zaproponuj zmianę”. Każdy zalogowany użytkownik Map Google może zasugerować zmianę nazwy miejsca, godzin otwarcia, numeru telefonu, adresu www czy oznaczyć lokalizację jako zamkniętą. Google deklaruje, że każda propozycja przechodzi weryfikację – algorytmiczną lub ludzką – zanim trafi na mapę.
W praktyce system moderacji opiera się w dużej mierze na automatyce. Eksperci komentujący incydent wskazują, że jeśli zorganizowana grupa osób lub sieć botów masowo wysyła zbieżne sugestie zmian dla danego punktu, algorytm może uznać je za wiarygodne i zatwierdzić bez ludzkiej moderacji. Szczególnie podatne są przy tym obiekty, które nie mają zweryfikowanego administratora – a taki status ma większość pomników, parków i budynków publicznych.
I tu jest sedno dla Twojego biznesu: obiekty publiczne nie mają właściciela profilu, ale Twoja firma może go mieć – i to jest realna przewaga. Zweryfikowany Profil Firmy w Google daje Ci powiadomienia o proponowanych edycjach, priorytet Twoich danych nad sugestiami osób trzecich i kanały odwoławcze. Niezweryfikowany profil jest w praktyce tak samo bezbronny jak Pomnik Syrenki.
Jest jeszcze jedna różnica między obiektem publicznym a firmą: motywacja atakującego. Pałac Prezydencki przemianowano dla rozgłosu. Profil Firmy w Google edytuje się z zupełnie innego powodu – wyniki lokalne to gra o sumie zerowej. W local packu mieszczą się trzy firmy; jeśli Twoja „zniknie” (bo ktoś oznaczy ją jako zamkniętą) albo przestanie odbierać telefony (bo ktoś podmieni numer), jej miejsce i jej klientów przejmuje kolejna firma z listy. Nieuczciwa konkurencja nie potrzebuje do tego żadnych umiejętności hakerskich – wystarczy ta sama funkcja „Zaproponuj zmianę”, której użyto w Warszawie.