Wie in dieser IBM-Technote beschrieben, kann man unter bestimmten Umständen an Lotus Notes-ID-Files von neu eingerichteten Benutzern kommen ohne sich vorher am Server authentifizieren zu müssen. Dies funktioniert aber nur für ID-Files die im Personendokument des Adressbuchs gespeichert werden (eigentlich auch für Passwörter von Roaming-Usern, da diese aber verschlüsselt gespeichert werden, sind die ID-Files ziemlich nutzlos.)
Allerdings handelt es sich hier m.E. eher um eine theoretische Lücke. Oder speichert jemand wirklich die ID-Files neuer User im Adressbuch anstatt sie den Usern auf sicherem Weg zukommen zu lassen? Zusätzliche komplizierte Initialpasswörter auf den ID-Files sowie erzwungener Passwortwechsel beim ersten Anmelden sollten eigentlich genug Sicherheit bringen.
Trotzdem ist das mal ein guter Zeitpunkt für den Admin im Adressbuch zu checken ob nicht doch noch so ein paar Personendokumente mit angehängtem ID-File aus der Vergangenheit exitsieren und diese ggf. zu löschen.