Als eersten zijn deze week Microsoft Hotmail en Excite voor de bijl gegaan. Een website die zich toelegt op de verspreiding van spam – het massaal rondsturen van ongevraagde reclame via e-mail – ontdekte dat het mogelijk is om de adressen te achterhalen van gebruikers van deze gratis e-maildiensten. Het e-mailadres van een abonnee bij Hotmail en Excite kan worden opgespoord door hem of haar een bericht te sturen met daarin een hyperlink naar een bepaalde website. Als de gebruiker daarop klikt wordt hij niet alleen rechtstreeks verbonden met de site, maar wordt ook zijn e-mailadres opgeslagen in het logbestand van de server waarop de site staat geparkeerd. Met eenvoudige middelen zijn de adressen uit de logbestanden te halen. De beheerder van een site kan daarna zijn `slachtoffers' bestoken met ongewenste post. Excite en Hotmail hebben inmiddels maatregelen aangekondigd om dit lek te dichten. Voor Excite komt de nieuwe `bug' op een ongelukkig moment. De zoekmachine moet nog een oplossing vinden voor het beveiligingslek dat in mei aan het licht kwam. Daarbij bleek dat de persoonlijke gegevens die iemand op een gepersonaliseerde pagina van Excite bewaart ook in de logbestanden van andere sites terechtkomen zodra de gebruiker naar andere lokaties op het World Wide Web surft. America Online De grootste provider van de Verenigde Staten, AOL, heeft toegegeven dat er een lijst is uitgelekt met gegevens over de `community leaders', de vrijwilligers die in ruil voor een gratis account de orde bewaren op de duizenden discussieforums van AOL. Een hacker bleek er in geslaagd om de elektronische postbus van een medewerker van America Online te kraken. Tussen de berichten vond hij ook een e-mail met daaraan gekoppeld een Excel-document waarin 1300 forumleiders en -gidsen met gebruikersnaam en echte naam staan vermeld. De hacker heeft de lijst via nieuwsgroepen verspreid. In enkele gevallen heeft dat er toe geleid dat `community leaders' thuis telefonisch zijn lastiggevallen. AOL kwam al eerder deze week in het nieuws door een minderjarige hacker die tegenover justitie heeft bekend meer dan 500 wachtwoorden van gebruikers van America Online te hebben gestolen. Daartoe stuurde de jongen een programma naar abonnees dat onzichtbaar voor de gebruikers hun accountgegevens bij AOL van hun computers haalde en naar de inbreker stuurde. Broncode-bug Het beveiligingsprobleem waarover WebWereld maandag berichtte (zie Het web lekt weer) blijkt meer webservers te treffen. Na Netscape en Microsoft heeft nu ook Sun Microsystems gemeld dat JavaWebServer de broncode van scripts onthult als gebruikers een stukje code aan het eind van een HTML-pagina toevoegen. De eenmaal blootgelegde scripts kunnen daarna misbruikt worden om bijvoorbeeld de wachtwoorden op te sporen die toegang bieden tot afgeschermde sites. Het probleem doet zich alleen voor bij servers die draaien onder Windows: op andere besturingssystemen blijven de scripts onzichtbaar voor onbevoegden. Ook een andere producent van serversoftware, O'Reilly & Associates, bevestigt dat zijn Website Professional last hebben van broncode-bug. Verder zou de Purveyor Web Server van Process Software, hetzelfde mankement vertonen.