Via apps kunnen ouders de poppen laten praten met hun kinderen, maar al deze gesprekken werden opslagen op een cloudserver van Amazon. CloudPet verzuimde echter deze server goed te beveiligen. Daardoor konden - weliswaar met enige moeite - gesprekken, foto's en e-mailgegevens worden gevonden in de database.

Volgens Troy Hunt hebben kwaadwilligen de database gehackt en alle gegevens verwijderd. Pas als CloudPet een bepaald bedrag in bitcoins zou betalen, zouden de gegevens weer worden teruggegeven. Uiteindelijk heeft de fabrikant zelf een back-up teruggezet. CloudPet heeft de gebruikers echter niet op de hoogte gesteld van het datalek.

Inmiddels zijn de gegevens niet meer op het web te vinden. Toch waarschuwt Hunt dat gebruikers die hun CloudPet-wachtwoorden ook elders gebruiken dat niet meer te doen. De kans dat criminelen deze wachtwoorden hebben is groot. De kans dat die criminelen de wachtwoorden ook uitproberen op andere diensten, is eveneens bijzonder groot.