Met een dergelijke DoS-aanval is het mogelijk om de computer van een andere KaZaA-gebruiker te laten vastlopen. Elke keer als een KaZaA-gebruiker een bericht ontvangt, wordt er een nieuw venster geopend. Daarbij houdt KaZaA geen rekening met de beschikbare systeembronnen van de computer. Bij een DoS-aanval worden er zoveel berichten naar de KaZaA-gebruiker gestuurd dat zijn systeem het niet meer aankan. De Spaanse ontdekker van het veiligheidsgat, MrJade, heeft een script gemaakt waarmee de bug eenvoudig kan worden uitgebuit. "Het schrijven van een programmaatje waarmee je duizend berichten naar iemand stuurt, is een fluitje van een cent", aldus MrJade tegenover WebWereld. "Eerst heb ik er de computer van mijn vriend mee laten crashen. Daarna heb ik nog een aantal testen uitgevoerd om vast te stellen dat het geen toevalstreffer was."

Gevoelige informatie

Behalve voor het uitvoeren van een DoS-aanval leent de berichtendienst van KaZaA zich ook voor het aannemen van de identiteit van een ander, ontdekte MrJade. Zo kan een KaZaA-gebruiker zich bijvoorbeeld voordoen als een beheerder van het netwerk. "Gebruikers kunnen op die manier misleid worden en allerlei gevoelige informatie afstaan", aldus MrJade. Beide gaten zitten in het berichtensysteem van FastTrack, het netwerk waar KaZaA gebruik van maakt. Ook andere uitwisselprogramma's die van het FastTrack-netwerk gebruikmaken, zoals Grokster en Morpheus, zijn daarom kwetsbaar. Edwin Metselaar van FastTrack is op de hoogte van de problemen. "Die DoS-aanval is geen echt veiligheidsprobleem. Er is geen sprake van dat een hacker je computer overneemt of zo. Het enige wat er kan gebeuren is dat je pc uitgeput raakt."

Versie 1.5

Volgens Metselaar is het probleem in de nieuwste versie van KaZaA (versie 1.5) 'gefixt'. "Ik heb contact gehad met die jongen en heb hem gevraagd te wachten met het bekendmaken van het lek totdat versie 1.5 van KaZaA zou verschijnen." Volgens MrJade biedt versie 1.5 echter nog steeds geen waterdichte oplossing voor de door hem gesignaleerde problemen. "Je kunt je nog steeds als iemand anders voordoen. Ook kan je computer nog steeds uitgeput raken als je niet alle pop-ups kunt sluiten. De berichtendienst is nu zo ingesteld dat de stroom messages na honderd berichten tijdelijk wordt stilgelegd." De beste manier om aanvallen te voorkomen is het uitzetten van de berichtendienst in KaZaA. Metselaar: "Als je merkt dat je allerlei onzinberichten ontvangt, kun je bij 'preferences' aangeven dat je geen berichten meer wilt ontvangen. Dat is de makkelijkste oplossing."