“Curador”と名乗るクラッカーが、2年前に発見されたマイクロソフト社のInternet Information Server(IIS)にあるセキュリティホールを使って、複数の電子商取引サイトから何千というクレジットカード番号をダウンロードしインターネット上に投稿した。 そのセキュリティホールのパッチは18ヶ月前に発行されていた。しかし零細企業のウェブ管理者らは、クラッカー攻撃を防ぐためのパッチを入手する情報を入手していなかったと述べた。 被害を受けたカナダ、オンタリオ州Markhamの携帯電話販売会社Promobility社のEric Geiler社長は「多くの会社にシステム管理者はいるが、概して最新のパッチ情報に疎い」と述べた。同社は今回の事件で顧客のクレジットカード番号、名前、住所、電話番号と一緒に社長個人のクレジットカード番号も盗まれた。Geiler社長は、不正侵入、詐欺、破壊の容疑でCuradorを捜査しているカナダ連邦警察に盗まれた証拠を提出し、「一体、どうして私の会社が狙われたのだ?こんな小さな会社なのに」と困惑気に語った。 マイクロソフト社の広報担当によると、同社は1998年7月にIISのセキュリティホールを修正するパッチを発行し、そして多数のユーザがパッチをインストールしていないことが発覚したため、1999年7月に再度警告を発したという。「弊社としては、この問題を深刻に捉えている。なぜならセキュリティ情報にパッチに関する情報を掲載したにもかかわらず事態は改善されず、弊社のイメージダウンにつながるからだ」と同社の広報担当が語った。 Promobility社のGeiler社長は、多くの小規模電子商取引サイトがセキュリティ対策を怠っているとし「小規模の電子商取引サイトが抱える最大の欠点は十分な資金がないまま事業を始めることだ。そして最大の落とし穴は、ITセキュリティ対策に資金を投じないことだ」と指摘した。
