Microsoftのサービスにアカウント乗っ取りの脆弱性が存在することをセキュリティ研究者のJack Whittonが確認した。Jack Whittonによると、Microsoftのoutlook.comやlive.comなどのサービスのログインURLにクロスサイトリクエストフォージェリの脆弱性が存在し、フィッシング詐欺用に開設したウェブサイトにiframeを仕込んでログインURLを各サービスごとに設定することで、複数のサービスのログイントークンが盗取され、このトークンによりアカウントにアクセスされて乗っ取られる恐れがあることがわかった。各サービスへの認証にクッキーは使用されておらず、認証にはトークンのみが必要であることから、トークンが入手できることでユーザのアカウントへのアクセスが可能になる。Jack WhittonはMicrosoftに報告を行い、Microsoftは2日でこの脆弱性を修正した。
