Учитывая масштабы инцидента, список возможных источников утечки невелик. Ближе всего по числу пользователей Aadhaar – база биометрических данных граждан Индии, однако индийское правительство отрицает факт утечки. Власти даже выпустили официальное заявление, согласно которому за последние пять лет случаи использования данных Aadhaar с целью хищения личности зафиксированы не были. Если заявление индийского правительства соответствует действительности, то вторым "подозреваемым" по численности населения может быть только Китай.
Помимо госучреждений, источником утечки мог стать популярный интернет-сервис. К примеру, количество пользователей Facebook превышает 2 млрд. Столько же пользователей насчитывается у Messenger и около 1 млрд – у WhatsApp. Свыше 1 млрд пользователей есть у китайских сервисов WeChat, QQ и Qzone. Не стоит также забывать о Yahoo!, в прошлом году сообщившей о двух масштабных утечках данных. Также нельзя исключать компании, занимающиеся сбором данных, такие как Oracle, Salesforce и Wayin.