Het door De Vries ontdekte lek betrof een zogeheten cross site scripting exploit (xss). Met behulp van deze exploit was het mogelijk om de inbox van een Hotmail-gebruiker over te nemen. Het slachtoffer moest daartoe wel worden overgehaald om een geprepareerde link aan te klikken. Daardoor was het mogelijk om het Hotmail-cookie van het slachtoffer te ‘stelen’.

De Vries publiceerde zaterdag over het lek op de site Net-Force. Naar aanleiding van de publicatie besloot Microsoft de site http://ilovemessenger.msn.com offline te halen. Gebruikers van Hotmail lopen nu geen risico meer, zo verklaart een woordvoerder van Microsoft tegen CNet.

Webmaildiensten hebben vaker last van cross site scripting exploits. Ook voor Hotmail was het niet de eerste keer. Drie jaar geleden was de maildienst van Microsoft het slachtoffer van een vergelijkbare bug.