Kasneje se je javil pravi Torba, ki je pojasnil, da so hekerji v prvem napadu pridobili tudi žetone OAuth2. Čeprav so pri sanaciji napada onemogočili krajo novih žetonov, niso deaktivirali starih, zato so se lahko z njimi hekerji prijavili v Gab. V osmih minutah, kolikor je trajalo od začetka do konca napada, so objavili 177 sporočil. Da pri sanaciji vdora niso onemogočili starih žetonov, je malomarnost. Možnih razlag je več, bodisi upravljavci strani niso dobro razumeli kode, ki poganja Gab (mastodon), bodisi niso želeli uporabnikov vznemirjati s ponastavitvijo prijave. Ker žetonov ni bilo v podatkih iz prvega vdora, ki so bili javno priobčeni, očitno nihče ni na to pomislil. Troy Hunt, ki upravlja stran Have I been Pwned?, je pojasnil, da je to tisto najbolj povedno - da administratorji sploh niso vedeli, da so jim odnesli žetone. Nenavadno je tudi, da od uporabnikov še vedno niso zahtevali ponastavitve gesel. Ni še znano, ali so hekerji v prvem vdoru dobili še kakšne podatke o uporabnikih, za kar katere upravljavec ne ve.
Gab je družbeno omrežje, ki je postalo vidnejše po izgonu nekdanjega ameriškega predsednika s Twitterja najprej na Parler, ki je tudi kmalu ugasnil, kasneje pa na Gab. Na Gabu so njegovi podporniki, ni pa še čisto jasno, ali je njegov račun na platformi avtentičen. Aplikacijo za dostop do Gab sta Google in Apple že pred časom odstranila iz svojih spletnih tržnic, ker (zaradi sovražnega govora) krši pravila uporabe.
