Hotmail-brugere har risikeret angreb med ondsindet kode, fordi Microsofts web-mail ikke har blokeret effektivt for softwareelementer, der kan bruges til at snige kode ind på brugerens pc. Hotmail bruges af millioner af mennesker kloden over.
Sikkerhedsfejlen, som kaldes en cross-script-sårbarhed, kan bruges til at skabe en internet-orm, der stjæler e-mail-adresser fra en Hotmail-brugeres adresseliste, opsniffer kreditkort-information eller installerer en såkaldt trojansk hest.
Problemet har ligget i den måde, som Hotmail forholdt sig til såkaldte Activex-elementer, som er små stykker softwarekoder, der blandt andet tillader programmører at flette sofistikerede brugerfladeelementer ind i websider.
Ved hjælp af ActiveX-elementer kunne en angriber sende ondsindet kode ind på en pc, når brugeren åbnede en e-mail fra Hotmail-kontoen.
Hotmail blokerede ikke godt nok for beskeder, der indeholder denne type softwarekoder, påpegede sikkerhedsfirmaet Finjan Security allerede tilbage i begyndelsen af september. Hullet blev lukket umiddelbart efter af Microsoft. Ifølge en talsmand fra Microsoft blev ingen brugere berørt af fejlen, før den blev opdaget.
Microsoft er gentagne gange blevet kritiseret for sikkerhedsstandarden i Hotmail-systemet og Passport-teknologien. Passport giver internet-brugere mulighed for kun at skulle logge sig på en enkelt gang for at kunne tilgå en lang række tjenester, for eksempel e-handelsbutikker.
I juli lukkede Microsoft et hul i den del af Passport, hvor en bruger kunne skifte password til systemet.