Het nieuwe lek is ontdekt door de programmeur Bennett Haselton, zo bericht Wired. Haselton had niet meer dan twee uur nodig om een programmaatje te schrijven dat gebruik maakt van het lek. Het risico ontstaat als een gebruiker van Hotmail op een HTML-attachment klikt. Deze kan een zogeheten Trojaans Paard bevatten. Hiermee kunnen de cookies van Hotmail worden onderschept, waaronder een sleutel genaamd MSPAUTH. Is deze sleutel eenmaal binnengehaald, dan is de weg vrij voor de indringer om alles met een account te doen wat hij wil. Volgens Haselton zijn veel Hotmail-gebruikers zich niet bewust van het risico dat verbonden is aan het klikken op HTML-attachments. Zij klikken maar wat raak. Hotmail-eigenaar Microsoft heeft nog geen oplossing voor het lek voorhanden.Eerdere relevante berichten: Microsoft geplaagd door bugs in Hotmail en WebTV (06 januari 2000) Microsoft dicht Hotmail-lekken naar behoren (05 oktober 1999)