Это делалось с помощью имеющегося в сервисе компонента Phish Detective, который отправлял на серверы Microsoft адрес посещенного пользователем сайта всякий раз, когда на нем вводились имя и пароль, аналогичные уже использовавшимся на другом сайте.

По словам сотрудников Microsoft, такая ситуация может свидетельствовать о том, что пользователь "попался на удочку" фишеров за исключением тех случаев, когда одни и те же верительные данные используются на легитимных сайтах (эти случаи не учитывались).

Как подсчитали исследователи по полученным данным, примерно 0,4% всех пользователей Web ежегодно выдают свою информацию фишерам.

В Microsoft подчеркивают, что никоим образом не нарушали конфиденциальность данных пользователей: компания не собирала информацию по их именам и паролям, а перед вводом Phish Detective в эксплуатацию данный модуль даже прошел независимую проверку на соответствие стандартам защиты личных данных.