Naar nu blijkt is de site woensdag gehackt door een hacker die zichzelf 'Remoter' noemt. Hij kreeg toegang tot de site door misbruik te maken van een programmeerfout met behulp van een SQL-injectie.

Door een SQL-query met een onverwachte vorm in een url op te nemen, ontving de hacker foutmeldingen die hem informatie gaven over de structuur van de achterliggende database. Daardoor kon hij een opdracht uitvoeren waarmee een externe link aan de Microsoft-pagina werd toegevoegd. Het resultaat was een zwarte pagina met twee Arabische foto's.

Beveiligingschef Roger Halbheer van Microsoft EMEA verklaarde vrijdag de kwetsbaarheid te betreuren. Volgens Halbheer had de database geen foutmeldingen mogen verzenden en had de webapplicatie de url van de hacker moeten valideren. Dan had de site niet gehackt kunnen worden.

Volgens Paul Davie van Secerno, een bedrijf dat databases beschermd tegen SQL-aanvallen, is dit type aanval in opkomst. Davie vindt dat Microsoft niet specifiek als nalatig moet worden afgeschilderd, omdat een dergelijke hack 'bijna iedereen kan overkomen'.

Zone-H.org, dat gehackte websites opspoort, heeft een screenschot van de gehackte pagina.