A 444 nyilvánosan elérhető információk alapján találta meg a csütörtöki bombafenyegetéshez használt e-mail fiókra érkezett leveleket. Elsőként a Csepel.info által megosztott képernyőkép kezdett el keringeni az eredeti levélről, amin látható volt a feladó címe, a [email protected] is. A postafiók nevét nyilvános adatbázisokban lefuttatva bukkantunk rá arra a TempM nevű oldalra, amit az e-mail cím létrehozásához használtak.
Ez viszont egy olyan szolgáltató, ami kifejezetten eldobható, egyszer használatos e-mail címek létrehozására alkalmas, így meglepő módon nem védte azt semmilyen jelszó, a cím ismeretében pedig hozzáférhetővé váltak a bombariadó óta ide érkezett levelek.
Az első általunk látott levél az UTC időzónában 5 óra 56 perckor érkezett ide, vagyis magyar idő szerint 1 órával később, 6 óra 56 perckor. A levél feladója az orosz Google-ként ismert Yandex volt, a tartalma pedig arról szólt, hogy valaki össze akarja kapcsolni a kicsillagozott nevű Yandex fiókját a bombafenyegetésekhez használt e-mailcímmel. Ehhez küldte el az orosz cég a kétlépcsős azonosításhoz használt számsort, az automatikus üzenet feladója pedig a [email protected] volt, ami a Yandex örményországi domain-végződésével rendelkezik.
Körülbelül 10 perccel később kapott a fiók még egy üzenetet a Yandextől, ezúttal a .ru végződésű hivatalos címről, amin megerősítette, hogy biztonsági e-mail címet kapcsoltak a felhasználóhoz. A levél tartalmazta a regisztráló IP címét is, ami egy németországi TOR exit node-hoz vezet vissza. Ez azt jelenti, hogy a több száz iskolának küldött bombafenyegetést minden bizonnyal a titkosított TOR böngészőn keresztül küldték ki, amit a darkweb eléréséhez használnak. A németországi exit node, vagyis kilépési pont pedig már csak egy olyan szervert jelöl, ahol a böngésző kilépett az általunk is használt nyílt internetre, innen pedig nem visszakövethető az eredeti forrás.
Ebben az időben, magyar idő szerint 7 és 7:30 között több alkalommal is elküldte az eredeti feladó a saját címére a fenyegető levél szövegét, magyar nyelvű „Küldetés” tárgyú levelében. A magyarországi iskolák csütörtök reggel kapták meg az e-maileket, és a több száz címzettből kiindulva feltételezhetjük, hogy nem egy időben kapták meg azokat. Egy másik, az interneten terjedő képernyőfotó alapján azt állíthatjuk biztosra, hogy az egyik iskola 6 óra 33 perckor kapta meg a levelet, tehát még a Yandex-regisztráció előtt fél órával.
Az első cikkek és posztok reggel 8-9 között jelentek meg a bombariadóról, a Csepel.info 8:38-kor osztotta meg a Facebookon az Allah haragjával és iskolákba rejtett bombákkal fenyegető levelet, a feladó e-mailcímével együtt. Mivel innentől a nyilvánosság számára is ismert lett a cím, a magyar internetezők számos különböző módját választották a fiókkal való kapcsolatfelvételnek.
Rögtön az első új levél így arról szólt, hogy valaki létrehozott egy PornHub-fiókot a fenyegető e-mail címét használva. Ennek magyarázata lehet, hogy többen is jó mókának szánták, ha regisztrálnak különböző melegpornós, lábfétises és furry videómegosztó portálokon.