Als een Hotmail gebruiker een bericht opent met daarin een verraderlijke JavaScript-code krijgt hij een webpagina voorgeschoteld die lijkt op de login-pagina van Hotmail. Een nietsvermoedende internetter zal dan opnieuw naam en wachtwoord ingeven, denkend dat hij per ongeluk is uitgelogd. De gegevens worden echter naar de hacker gestuurd, die vervolgens toegang heeft tot het account en het e-mailadres kan `kapen' door het wijzigen van het wachtwoord. Guninski is inmiddels wereldberoemd als ontdekker van gaten in software, voornamelijk Internet Explorer en Netscape. De twee recente problemen met Internet Explorer 5 werden ook ontdekt door de Bulgaar. (Zie nieuws van 14 september.) De fout ligt volgens de bugzoeker in het feit dat Hotmail programmaatjes geschreven in JavaScript en opgenomen in webpagina's automatisch accepteert en uitvoert. Zo zouden programmeurs scriptjes kunnen schrijven die allerlei taken uitvoeren, van het lezen van andermans mail tot het opvragen van wachtwoorden. Microsoft ziet de laatste ontdekking van Guninski niet als een veiligheidslek. "Dit gaat niet over de veiligheid van Hotmail. Wij zien dit als een voorbeeld van mensen die het draaien van boosaardige scriptjes op het web willen aanmoedigen," aldus een woordvoerder van Microsoft tegen ZDNet. Toch onderzoekt Microsoft hoe het gebruikers van Hotmail, dat zijn er wereldwijd ruim 40 miljoen, kan beschermen tegen kwaadaardige JavaScript in e-mail berichten. "Voor onmiddellijke bescherming kunnen gebruikers JavaScript uitschakelen in hun browser of geen verdachte berichten openen. We onderzoeken manieren voor volledige bescherming." Volgens Guninski is de oplossing simpel. Het gat zou ontstaan omdat Hotmail de nieuwe HTML-code `STYLE', gebruikt om JavaScript in webpagina's te verwerken, niet herkent. Eenvoudig het instellen van een filter, zodat die HTML-code wordt herkend en geblokkeerd, zou het probleem dus verhelpen. Het Java-lek in Hotmail komt twee weken nadat het grootste lek ooit in een gratis e-maildienst werd gedicht. (Zie nieuws van 31 augustus.) Zweedse hackers gaven toegang tot Hotmail zonder een wachtwoord, enkel het ingeven van de loginnaam van een Hotmail gebruiker was voldoende om e-mail te lezen en te versturen. Na de hack kondigde Microsoft aan dat het een extern bedrijf zal inhuren om de e-maildienst door te lichten. (Zie nieuws van 13 september.)