Die Instant-Messaging-Software Lotus Sametime von
IBM weist eine Sicherheitslücke auf. Plug-ins, die zur Erweiterung der Sametime-Funktionen entwickelt werden, können das Passwort des eingeloggten Nutzers von Client im Klartext abfragen. Der IM-Experte Carl Tyler hat dies auf seiner Website „iminstant.com“ thematisiert.
IBM betrachtet die Möglichkeit zur Passwortabfrage offenbar als Feature: Der Mechanismus ist im Lotus Sametime Client Connect API dokumentiert. Für Tyler handelt es sich jedoch klar um ein Sicherheitsrisiko – vor allem weil viele Benutzer für verschiedene Anwendungen das gleiche Passwort einsetzen und sich die Funktion so auch für den Einbruch in weitere Systeme missbrauchen lässt.