Twee studenten en een professor van de Ruhr-universiteit verklaarden een manier te hebben gevonden om deze vertrouwelijke informatie te schenden. Dit doen ze door het DNS (een systeem voor domeinnamen) van de pc met de gewenste informatie te wijzigen en die vervolgens naar een site te herleiden die aan de haal gaat met de gewenste identiteiten.

Kim Cameron, identiteitsarchitect bij Microsoft en de voornaamste ontwikkelaar van CardSpace, deelt die mening niet. Op zijn blog verklaart hij inderdaad dat de aanval, om te functioneren, op de een of andere manier de gebruiker ervan moet overtuigen bepaalde waarschuwingsberichten van Microsoft, zoals die die het browsen op bepaalde sites afraden, te negeren en dus zelf de veiligheidsmaatregelen aan hun laars lappen.