Angriperne tilhører det kanadisk selskapet Specialty Installations som driver et eget nettsted - because-we-can - viet demonstrasjoner av sikkerhetshull i Hotmail. Den første demonstrasjonen kom i forrige uke. Det tok noen dager før Hotmail fikk tettet igjen dette sikkerhetshullet, som gjorde bruk av skjult JavaScript i e-postmeldingen til å endre Hotmails webside slik at brukeren trodde han måtte logge seg på igjen. Da han gjorde dette, sendte han brukernavn og passord til because-we-can.
Nå demonstrerer nettstedet hvordan en tilsvarende fangst kan gjennomføres ved hjelp av et vedlegg til e-postmeldingen. Vedlegg er laget ved hjelp av Macromedia Shockwave, et forholdsvis utbredt hjelpemiddel. Tom Cervenka i Specialty Installations sier til News.com at Shockwave er bare et av mange verktøy som kan brukes til å generere tilsvarende effekter.
Hotmail har anerkjent dette nye sikkerhetshullet, og forpliktet seg til å tette det. Imens har nettstedet testet Hotmails fiks på det forrige hullet, og gratulert selskapet med vellykket tetningsarbeid.
