Die forensischen Analysen beziehen sich in der Tat nur auf Dateiattribute in komprimierten und zum Teil verschachtelten Dateiarchiven, die "Guccifer 2.0" veröffentlicht hat.
https://theforensicator.wordpress.com/guccifer-2-ngp-van-metadata-analysis/
Diese Attribute sind natürlich beliebig manipulierbar und beweisen nichts. Die Frage ist aber, warum ein Hacker die Attribute so manipulieren sollte, dass es nach einem Leak und nicht nach einem Hack aussieht. Es ist weitaus wahrscheinlicher, dass der Anschein eines Hacks erweckt werden sollte, aber die Dateiattribute aus Schlamperei nicht geändert wurden. Das ist ein starkes Indiz dafür, dass es sich tatsächlich um ein Leak handelt.