De hacker, volgens eigen zeggen 19 jaar en afkomstig uit Rusland, noemt zichzelf Maxim. In een e-mail naar de krant The New York Times vertelde hij gebruik te hebben gemaakt van een lek in de software die financiële gegevens van CD Universe moet beschermen. De hacker claimt op die manier 300.000 creditcardnummers gestolen te hebben. In zijn e-mail naar The Times stuurde hij 198 nummers mee, die volgens de krant allemaal echt waren. Een van de eigenaren bevestigde ooit iets bij de online muziekwinkel gekocht te hebben. Vorige maand stuurde Maxim een fax naar CD Universe, waarin hij aanbood in ruil voor 100.000 dollar zijn bestand met kaartnummers te vernietigen. De online muziekwinkel ging daar niet op in, waarop de hacker besloot een site te openen met de naam Maxus Credit Card Pipeline. Twee weken lang stonden daar duizenden creditcardnummers, totdat de site zondag gesloten werd. CD Universe, dat samen met moederbedrijf eUniverse en de FBI de identiteit van de hacker probeert te achterhalen, weet niet of er misbruik is gemaakt van de gestolen nummers. In zijn e-mail aan The Times claimde Maxim dat hij enkele creditcards gebruikt heeft om aan geld te komen. Wantrouwen Brett Brewer, vice-president van eUniverse, verklaarde echter dat het bedrijf geen telefoontjes had gekregen van klanten met de medeling 'Iemand heeft met mijn creditcard een auto gekocht!'. Frappant is de tekst op de site van CD Universe. Als antwoord op de vraag 'is winkelen op internet veilig?' geeft de FAQ het volgende antwoord. "Het is veiliger je creditcard op internet te gebruiken dan in de stad." Volgens analisten kan dit incident nadelige gevolgen hebben voor de handel op internet. Consumenten zouden steeds minder vertrouwen krijgen in de beveiliging van hun gegevens.