Ruby Central 내부의 혼란스러운 상황은 이번 사건의 주요 배경입니다. 개발자들의 GitHub 권한이 반복적으로 취소되고 복원되는 등 불안정한 상황이 이어졌으며, Marty Haught의 불규칙하고 모순된 소통과 이사회의 침묵은 혼란을 가중시켰습니다. 주요 온콜 엔지니어였던 Arko는 계약상 책임에 따라 잠재적 위협으로부터 RubyGems.org 서비스를 방어해야 했습니다. 해킹 가능성이나 사회 공학적 공격을 우려한 Arko는 AWS 계정을 잠그고 공격자의 활동을 방지하기 위한 조치를 취했습니다. 그는 조직이 계정의 전체 제어권을 유지하도록 모든 계정의 이메일 주소를 변경하지 않았습니다.
Ruby Central의 (서명 없는) 공개 성명 이후, Arko는 자신이 우려했던 악의적인 탈취가 아닌 Ruby Central의 의도적인 조치임을 인지하고 개입을 중단했습니다. 그러나 약 2주 후, Ruby Central의 “보안 감사”가 실패했음을 발견했습니다. Arko는 여전히 “rubycentral” 및 “rubytogether” GitHub 조직의 소유자였으며, 운영 자격 증명이 담긴 “RubyGems” 1Password 계정에 대한 접근 권한을 유지하고 있었습니다. Ruby Central은 “Ruby Central” 1Password 계정만 해지하고, 실제 운영팀이 사용하던 “RubyGems” 계정은 해지하지 않았던 것입니다.
이에 Arko는 2025년 9월 30일 Marty Haught에게 이메일을 보내 AWS 루트 계정 자격 증명, DataDog 프로덕션 경고 및 로그, GitHub 조직 소유권에 대한 지속적인 접근을 직접 보고했습니다. Ruby Central은 3일 이상 응답하지 않았고, Marty Haught는 10월 3일에야 Arko에게 AWS 루트 계정 접근 여부와 프로덕션 데이터(PII 포함) 보유 여부를 확인하는 이메일을 보냈습니다. Arko는 10월 5일, AWS 루트 계정 접근은 불가능하나, 다른 서비스 자격 증명들이 회전되지 않아 여전히 프로덕션 AWS 접근이 가능함을 다시 보고하며 해결을 요청했습니다. 그러나 Arko가 선의로 정보를 제공하는 동안, Ruby Central의 변호사는 Arko의 변호사에게 그가 연방 범죄(“해킹”)를 저질렀다는 내용의 서한을 보냈습니다. Arko는 자신의 행동이 서비스 방어를 위한 것이었음을 주장하며 Ruby Central의 주장에 반박했습니다.