Deux étudiants et un professeur de l'université de la Ruhr ont affirmé avoir trouvé le moyen de voler ces informations confidentielles. Il s'agit de modifier le DNS (système de noms de domaines) du PC contenant les informations voulues, puis de le rediriger sur un site Web qui, lui, s'emparera des identifiants voulus.

Kim Cameron, architecte identité chez Microsoft et principal développeur de CardSpace, n'est pas du même avis. Sur son blog, il explique en effet que pour fonctionner, l'attaque doit d'une façon ou d'une autre convaincre l'utilisateur de passer outre certains avertissements de Microsoft comme ceux déconseillant la navigation sur tel ou tel site, et donc de lever lui-même ses barrières de sécurité.