Windows Live Hotmail bevatte een beveiligingslek, waardoor kwaadwillenden e-mails van Hotmail-gebruikers konden kopiëren. Daartoe hoefden ze slechts een speciaal geprepareerde e-mail te sturen. Het lek is actief misbruikt.
Onderzoekers van Trend Micro ontdekten een aanval op Microsoft Hotmail. Hackers gebruikten een beveiligingsprobleem in Hotmail om e-mails en contactpersonen van gebruikers door te sturen naar een ander e-mailadres. Het beveiligingsprobleem werd veroorzaakt door een bug in de css-filtering die Hotmail toepast op e-mails. Door een speciaal karakter in te voegen, konden kwaadwillenden javascript-code injecteren.
In de door Trend Micro ontdekte aanval gebruikten de aanvallers deze bug om externe javascript-code te laden, die er op zijn beurt voor zorgde dat de informatie werd geforward. Zodra een gebruiker zijn Hotmail-sessie beëindigde, werd het doorsturen van de mails beëindigd.
Inmiddels heeft Microsoft het lek gedicht. Het is onduidelijk of het beveiligingslek op grote schaal is misbruikt; volgens Trend Micro zijn er aanwijzingen dat het om een gerichte aanval gaat, die dus niet op Hotmail-gebruikers in het algemeen is gericht.