Tijdens Def Con, de grootste hackersconferentie ooit die dit weekend in Las Vegas werd gehouden, beweerden twee bedrijven dat zij erin zijn geslaagd Lotus Notes te kraken. Lotus Notes van IBM is kantoorsoftware waarmee verschillende gebruikers van een netwerk de mogelijkheid hebben hetzelfde document te openen. Ook kan versleutelde e-mail verstuurd worden. Het softwarepakket wordt volgens Lotus in totaal door ongeveer 60 miljoen mensen gebruikt. ABN AMRO, Heineken, Philips, PriceWaterhouseCoopers maar ook de Belastingdienst en de CIA maken gebruik van het systeem, dat als zeer veilig bekendstaat. Maar medewerkers van het Haagse beveiligingsbedrijf Trust Factory slaagden er samen met Chris Goggans (vroeger bekend als Erik Bloodaxe) van Security Design International toch in het pakket te kraken. Tijdens Def Con presenteerden zij hun bevindingen. Daarbij hielden ze cruciale informatie achter om te voorkomen dat anderen hen gaan imiteren. Lotus was voorafgaand aan de presentatie op de hoogte gebracht van de lekken. Via de fout zouden inbrekers de mailboxen en databases van vrijwel elke Notes-gebruiker kunnen openen. Verder zou men, eenmaal binnen, mail kunnen versturen en anderen kunnen machtigen voor toegang tot dezelfde mailboxen en databases. Volgens Goggans is er een simpele manier om aan een wachtwoord van een Notes-gebruiker te komen. In het mailsysteem van Notes worden de gebruikersnamen, e-mailadressen en ID-bestanden opgeslagen in een Naam- en Adresboekdatabase. Veel systeembeheerders zouden, omdat het systeem zo complex is, verzuimen dit Naam- en Adresboek af te sluiten voor de buitenwereld. Lotus stelt in een reactie dat de 'beweerde kwetsbaarheid alleen in zeer specifieke gevallen mogelijk is'. Volgens het bedrijf zijn de beveiligingsproblemen te voorkomen door het totale systeem te configureren volgens de richtlijnen die Lotus geeft. In versie 4.6 en hoger is het probleem volgens Lotus door systeembeheerders eenvoudig teniet te doen. Op haar site heeft Lotus inmiddels een verklaring geplaatst.