De Fransman, die zich Kitetoa noemt, beweert dat hij drie verschillende servers van Doubleclick is binnengedrongen. Zijn bevindingen werden gepubliceerd door de Franse nieuwssite Transfert.net. DoubleClick geeft toe dat vorige week twee servers zijn gehackt. Er zouden echter geen persoonlijke gegevens zijn buitgemaakt. Op de ene server – www.doubleclick.net - trof Kitetoa een programmaatje aan dat daar helemaal niet thuishoort. Het gaat om eeyehack.exe dat door softwaremaker eEye Digital Security is geschreven om veiligheidsgaten in Microsofts Internet Information Server IIS4 aan te tonen. Microsoft heeft vorig jaar al patches voor dit inmiddels overbekende Unicode-gat uitgebracht, maar DoubleClick heeft deze niet op haar servers geïnstalleerd. Experts zijn er niet van overtuigd dat eeyehack.exe alleen aanwezig is op de server van DoubleClick of dat het backdoor-programma ook daadwerkelijk is uitgevoerd en dus gevoelige informatie (zoals klantgegevens) liet lekken. ZDNet zet vraagtekens bij de claims van Kitetoa. Een door de Fransman gepubliceerd screenshot suggereert dat eEyehack in april 1999 op de server van DoubleClick is neergezet, maar het bewuste programma zou pas in april 2000 zijn geschreven. Het lek in de andere server betreft een database van Abacus, het offline advertentiebureau dat door DoubleClick is overgenomen. Ook hier is niets aan de hand, bezweert DoubleClick: het zou gaan om de machine van een programmeur die niet goed beveiligd was. Er zouden geen consumentgegevens zijn prijsgegeven. Hoe het ook zij, voor DoubleClick is het een pijnlijk incident. Vorig jaar nog startte de Federal Trade Commission een uitgebreid onderzoek naar de privacypraktijken van DoubleClick. Dit onderzoek is inmiddels afgerond. Veiligheidsexpert Richard Smith stelt tegenover MSNBC dat hij moeilijk kan inschatten hoe ernstig het lek is. "Als het om oude machines gaat, dan is er wellicht niet zo veel aan de hand, alhoewel je er wel vraagtekens bij kan zetten. DoubleClick lijkt veel serverproblemen te hebben. Dat is geen goed punt voor een club die zoveel informatie verzamelt", aldus Smith.

Eerdere relevante berichten:
FTC sluit onderzoek naar privacypraktijken DoubleClick (23 januari 2001)
DoubleClick stelt plan tot koppeling van bestanden uit (03 maart 2000)