Het lek wordt veroorzaakt door de methode die de Yahoo toepast om een gebruiker te herkennen. Als je je registreert voor de nieuwe dienst, krijg je een e-mailadres toegewezen in de vorm van [email protected] Behalve het verzenden en ontvangen van berichten via een webpagina bij Yahoo kun je je postbus ook zodanig configureren dat de berichten van al je andere accounts naar de dienst worden doorgestuurd. Een uitkomst voor mensen die veel onderweg zijn of die geen vaste computer hebben en toch hun postbus willen legen. Volgens Andrew Shieh, een student aan de universiteit van Stanford die de bugs ontdekte, slaat Yahoo Mail alle informatie over je externe accounts op een logbestand op de harde schijf van de PC waar je op dat moment achter zit. Dat logbestand wordt niet versleuteld. Iedereen kan het inzien. Diezelfde informatie wordt ook nog eens opgeslagen in een cookie, dat Yahoo Mail achterlaat op de computer. "Op een PC die voor iedereen toegankelijk is, blijft zo'n cookie acht uur bewaard, als je niet op de exit-knop van Yahoo Mail klikt", aldus Shieh. "Iemand die na jou achter de PC gaat zitten en naar de website surft, wordt automatisch onder jouw naam ingelogd." Yahoo erkent dat er enkele gaten in de beveiliging zitten en heeft een fix toegezegd. Daardoor zal de webdienst geen logbestanden meer opslaan op de lokale computer. Tegen het cookie-probleem is maar één middel opgewassen, aldus executive producer Tim Brady van Yahoo: de exit-knop. Brady zegt dat zijn dienst de cookie ook zou kunnen verwijderen na één sessie, maar dat gebruikers die van een vaste plek inloggen dan iedere keer opnieuw hun wachtwoord zouden moeten opgeven. Volgens Brady heeft geen enkele gebruiker tot nu toe problemen gemeld. Hij raadt mensen die van een openbare computer gebruik maken de cache van hun browser leeg te halen, als ze hun sessie online beëindigen.