Du verwendest die Basic-Authentication in der URL. Ich weiß nicht, ob der Client diese Syntax transparent unterstützt. Hast Du mal probiert, ob das Setzen von User und Passwort über den dafür vorgesehenen AuthEvent funktioniert?

RFC-3986 (AD 2005) sagt, dass die Verwendung der Syntax mit user:pass veraltet ist und falls doch unterstützt, dass übergebene Passwort ignoriert werden soll.

Edit: Wie wird der StringStream freigegeben? Zumal der Überflüssig ist, Get gibt ein IHTTPResponse zuück, welches über IURLResponse ContentAsString unterstützt.