De Nederlandse politie gebruikte mogelijk een Excel-bestand om het ip-adres van gebruikers van de online marktplaats Hansa te achterhalen. Doordat het bestand na openen verbinding maakte met een bepaalde server, was het adres vast te stellen.
The Daily Beast heeft het bestand in handen en schrijft dat het bestand inderdaad verbinding maakt met een server. Dat gebeurt niet via het Tor-netwerk, waardoor gebruikers die geen vpn of proxy hebben hun ip-adres prijsgeven. De politie kan dit vervolgens weer gebruiken om ze via hun provider te identificeren. De aard van het bestand zou gelijkenissen vertonen met die van een zogenaamd Canarytoken, dat wordt gebruikt om bestanden te volgen.
De oprichter van het bedrijf Thinkst, dat zich bezighoudt met deze techniek, bevestigt tegenover de site dat elementen van de software overeenkomen. De server waar het bestand contact mee opneemt, zou nu een generieke foutmelding tonen, maar The Daily Beast baseert zich op eerdere Reddit-posts waarin wordt gezegd dat op het adres van de server een site werd gehost die leek op Hansa. De hoster is het Franse bedrijf OVH. Onderzoeker Nicholas Weaver zegt tegen de site dat dit erop wijst dat het een methode was om gebruikers te identificeren.
Op Reddit werd al eerder gewaarschuwd voor het bestand vanwege de externe verbinding. Handelaren op Hansa konden het bestand downloaden om een overzicht te ontvangen van hun transacties. Het bestand zou lange tijd een tekstbestand zijn geweest, maar dat werd op een gegeven moment vervangen. Daarbij is onduidelijk wanneer dat precies gebeurde. De Nederlandse politie wilde niet op vragen van The Daily Beast reageren. Ook Europol weigerde.
Eind juli werd bekend dat onder meer de Nederlandse politie een maand lang de controle had over de darknetmarktplaats Hansa. Daardoor was het mogelijk om transacties in te zien en zo informatie over kopers en verkopers te verzamelen. Toegang tot Hansa was mogelijk doordat twee beheerders waren aangehouden.