De veiligheidsgaten ontstaan wanneer iemand de serverpakketten installeert met de standaardinstellingen, zonder goede toegangscontrole te activeren. Programmeurs van Web Trends in Portland, Oregon ontdekten de fouten. Een ervaren websurfer moet zonder moeite toegang kunnen krijgen tot transactielogbestanden, creditcardnummers en andere consumenteninformatie.

Volgens L0hpt, een groep computerfreaks die graag software uitpluist en fouten opspoort, zit er zelfs een flinke fout in de elektronische winkelmandjestoepassing: "Wachtwoorden van beheerders worden in openbaar toegankelijke tekstbestanden opgeslagen."

Een kwaadwillende websurfer kan door het opvragen van viewcode.asp, codebrws.asp en showcode.asp informatie over het systeem opvragen die eigenlijk achter wachtwoorden en encryptie behoort te zitten. Het probleem komt voor bij versie 3.X van de Site Server en versie 4.X van de Internet Information Server, beide worden gebruikt in e-commerce omgevingen.

"Het is een slechte zaak als een e-commerce database staat op een van die systemen," zegt Rob Finlay van Web Trends. "Een hacker kan door het opvragen van de Active Server Pagina's (ASP) achter de locatie van die database komen en inbreken."

Een Web Trends programmeur ontdekte de veiligheidsgaten een paar weken geleden. Tot zijn schrik zijn de gaten zo groot dat hij via een zoekprogramma kon achterhalen welke andere webservers op een zelfde wijze zijn geconfigureerd.

Microsoft onderkent het probleem en werkt hard aan een oplossing. Begin volgende week moet een reparatiebestand beschikbaar zijn. Tot die tijd raadt Microsoft aan de instellingen van de ASP-bestanden te controleren of de tools helemaal te verwijderen.