Gegevens van mensen die via de online webwinkel van Samsung producten kopen zijn voor anderen toegankelijk, zo ontdekte security-engineer Matt Metzger. Hij had bij Samsung een tv besteld en ontving een trackinglink van transportbedrijf AGS. Het bedrijf dat voor Samsung televisies aflevert.

De link liet echter de bestelling van iemand anders zien. Metzger dacht dat er een administratieve fout was gemaakt en gaf er verder geen aandacht aan. Twee dagen later bekeek hij de trackinglink opnieuw en zag twee bestellingen staan, die van hemzelf en iemand anders. Hij nam contact op met Samsung een kreeg te horen dat AGS elk jaar trackingnummers recyclet. Beide bestellingen waren echter in dezelfde week gedaan. Daarnaast wordt er volgens de engineer niet van willekeurige trackinglinks gebruikgemaakt maar opeenvolgende. Via een script zou het zodoende mogelijk zijn om de gegevens van alle klanten die bij Samsung iets hebben besteld te verzamelen.

Nadat de televisie was geleverd hoopte Metzger dat het probleem was verdwenen, maar het tegenovergestelde bleek het geval te zijn. De trackinglink bevatte naast de bestelgegevens nu ook een tiff-bestand. Het ging om een gescande kopie van het vervoerbiljet met naam, adresgegevens en handtekening. Google heeft een aantal van de trackinglinks geïndexeerd. Metzger merkt op dat zelfs als Google de zoekresultaten zou verwijderen, AGS op de eigen website een zoekoptie biedt om de links te zoeken.