Lỗ hổng tồn tại trong tính năng thiết lập lại (reset) mật khẩu của Hotmail. Tin tặc có thể sử dụng add-on Firefox tên là Tamper Data để chặn yêu cầu HTTP gửi đi sau khi có yêu cầu reset mật khẩu và sửa đổi dữ liệu, khóa chủ tài khoản lại và truy cập vào hộp thư đến (inbox) của họ.

Các nhà nghiên cứu bảo mật máy tính phát hiện ra lỗ hổng hồi đầu tháng 4/2012 và thông báo về nó cho Microsoft ngay sau đó. Tuy nhiên, chi tiết của lỗi này đã bị rò rỉ trong nhiều diễn đàn trực tuyến, và hồi đầu tuần này người ta nói, tin tặc đang cung cấp thông tin để đột nhập vào bất kỳ tài khoản Hotmail nào với giá chưa đến 20 USD.

Giờ đây, Microsoft cho biết đã ban hành một bản cập nhật để sửa lỗi. Tài khoản Security Response trên Twitter của công ty cho biết, hôm thứ Sáu 29/4/2012 họ đã khắc phục sự cố chức năng reset để giúp bảo vệ khách hàng Hotmail. Khách hàng không cần có hành động nào cả.

Không biết là có bao nhiêu tài khoản Hotmail có thể đã bị tổn hại bởi lỗi này. Theo một số báo cáo, các tin tặc người Ma-rốc đã tích cực khai thác lỗ hổng này, có kế hoạch reset mật khẩu của 13 triệu người dùng Hotmail.

Nhà tư vấn công nghệ Graham Cluley của Sophos cho biết, nếu người dùng Hotmail không hiểu sao không thể đăng nhập vào tài khoản của mình, có thể tài khoản e-mail của họ đã trở thành nạn nhân của vụ tấn công này.