Hoewel het lek al langer bij het publiek bekend was, is het balletje pas gaan rollen nadat beveiligingsconsultant Victor Manuel Alvarez Castro hier eind juni over publiceerde op Insecure.org. Normaliter stelt een expert Microsoft eerst op de hoogte alvorens over een lek te schrijven. Dat is in dit geval niet gebeurd, aldus Jeff Jones van Microsofts Trustworthy Computing Security. Volgens Jones was Microsoft nog niet eerder van het bestaan van dit lek op de hoogte gebracht. "Ik weet niet wie deze man [Castro, red.] is, maar hij heeft zich niet aan de ongeschreven rapportageregels gehouden", aldus de zegsman.

Secret Question

Het gedichte lek betrof de manier waarop Passport omging met de geheime vraag. Deze extra beveiliging was optioneel. Indien kwaadwillenden vervolgens het `verloren wachtwoord' probeerden op te vragen, kon direct het standaardwachtwoord worden gewijzigd. De aanvaller kreeg hierdoor de totale controle over de account en had zodoende ook toegang tot andere Passport-diensten, zoals Hotmail. Microsoft wil niet zeggen om hoeveel accounts het gaat, maar zegt dat het maar een `klein deel' van het totaal aantal accounts betreft. De redactie van WebWereld besteedde dinsdag aandacht aan het `nieuw ontdekte' beveiligingslek in Passport. Diverse lezers meenden dat WebWereld oud nieuws bracht, mede omdat het bewuste lek op 8 mei al in de reacties op een ander artikel werd aangestipt. Hoewel dit nieuwsbericht als oud nieuws werd bestempeld, heeft de redactie ervoor gekozen het artikel te laten staan. Dit omdat er nog niet eerder over was geschreven en het lek bij veel mensen (en ook bij Microsoft zelf) niet bekend was.