De Duitse beveiligingsonderzoeker Hanno Böck is erin geslaagd de Windows Tiles-dienst van Windows over te nemen via een subdomein dat Microsoft vergeten was te registreren. Sinds Windows 8 zijn Tiles aanwezig en ze worden gebruikt voor bijvoorbeeld het weergeven van nieuwsberichten.

In Windows 8 verschenen ze in het startscherm, met Windows 10 plaatste Microsoft ze in het startmenu. De Tiles-dienst is echter nooit succesvol geweest. Websites die Windows Tiles ondersteunen kunnen als Tile worden toegevoegd. Deze websites kunnen vervolgens via een speciale metatag nieuws in hun Tile tonen. Om het eenvoudiger voor websites te maken om hun content via Windows Tiles te tonen bood Microsoft een dienst aan die automatisch RSS-feeds van deze websites naar het juiste XML-formaat voor de Tiles omzette.

De webpagina voor het genereren van de bijbehorende metatags is nog steeds online, maar de dienst werkt niet meer. De host die het XML-bestand zou moeten aanleveren, notifications.buildmypinnedsite.com, wijst naar een subdomein van Azure, het cloudplatform van Microsoft. Dit subdomein was echter niet bij Azure geregistreerd. Böck wist met een normaal Azure-account dit subdomein vervolgens te registreren en de overeenkomstige hostnaam toe te voegen.

Hierdoor is het mogelijk om de inhoud van allerlei Tiles aan te passen. Ruim 2400 websites maken namelijk nog gebruik van notifications.buildmypinnedsite.com voor het updaten van de inhoud van hun Tiles. Via het geregistreerde subdomein kan Böck nu de inhoud bepalen. De onderzoeker informeerde Microsoft, maar heeft nog geen reactie ontvangen. Böck laat in een artikel voor Golem weten dat hij vanwege de kosten het subdomein op een gegeven moment zal vrijgeven, waarna anderen het kunnen registreren.