Není to nic jednoduchého, chyba prý nebyla zneužita, ale Microsoft kvůli tomu pozastavil na chvíli svou digitální peněženku.
Marc Slemko, programátor a bezpečnostní specialista ze Seattlu
veřejně předvedl postup, jak z účtu v Passportu vytáhnout číslo kreditní karty uložené v rámci dat uživatele. Postup je sice jednoduchý, ale trochu krkolomný, pomocí cross-site scriptingu šlo získat v rozmezí 15 minut od přihlášení uživatele k Hotmailu a jeho kliknutí na zprávu jeho cookies a s nimi pak proniknout na Passport a do digitální peněženky. Microsoft na základě této chyby zastavil provoz elektronické peněženky e-wallet, aby neohrozil své zákazníky, později službu opět spustil, nezměnil ale podle Marca Slemka zabezpečení, pouze snížil časový limit na 1-2 minuty.
Microsoft se snaží z Passportu vybudovat univerzální přihlašovací kanál, který bude obsahovat všechna data uživatele, včetně zmiňovaného čísla kreditní karty, aby nebylo nutné stejná data pokaždé vkládat do různých formulářů na webu. Elektronická peněženka má nabídnout možnost snadného rychlého placení, pochopitelně je ale nutné zlomit důvěru lidí v neuvádění podobných citlivých informací. Podobná odhalení pochopitelně jeho snahu citelně podrývají a ukazují, že důvěra v bezpečnost je jen velmi křehká.
Na Passportu je v současné době registrovaných zhruba 200 miliónů uživatelů, přičemž se předpokládá zvýšení počtu díky citelné propagaci Passportu v nových Windows XP. Elektronickou peněženku pak využívá 2 milióny uživatelů. Pochopitelně pro registraci v Passportu je nutné zadat jen minimum informací a číslo kreditní karty mezi nimi rozhodně nefiguruje. Zneužití chyby také bylo vázáno jen na Hotmail, ve Windows XP navíc nefungovalo. Microsoft také tvrdí, že žádná osobní data zákazníků nebyla tímto způsobem zneužita. Světlo, které ale bylo vrženo na Passport, mu rozhodně neprospěje a jeden úspěšný pokus jistě motivuje řadu případných následovníků.
