המעבר למתן שירותים ממשלתיים לאזרח באמצעים דיגיטליים הוא מבורך, אבל לפעמים מעורר אתגרים מסוג חדש בתחום אבטחת המידע: באתר הממשלתי של רשות האכיפה והגבייה למשל, אפשר לשלם בצורה מקוונת ומאובטחת קנסות ודו"חות - אלא שחולשה שהתגלתה בו חשפה פרטים רגישים על אזרחי ישראל. סהר אביטן, חוקר בחברת אבטחת המידע Security Joes שנדרש בעצמו לשלם דו"ח תנועה, הבחין כי תהליך הזיהוי והאימות באתר עשוי להיות פגיע - וחשף על הדרך חולשה חמורה, שאם הייתה מנוצלת - הייתה חושפת שמות מלאים של אזרחים לצד, מספרי רכב, פרטי דבר העבירה ועוד. החולשה דווחה באמצעות מערך הסייבר הלאומי וטופלה באופן מיידי.
החוקרים הבינו מיד כי באתר קיימת חולשה מסוג Insecure Direct Object References - שהמשמעות שלה היא שליפה של מידע רגיש על בסיס פרט אימות בסיסי אחד בלבד. בפועל, החוקרים הבינו כי תוקפים פוטנציאליים יכולים להזין מספרי דו"חות שונים ולקבל גישה למידע פרטי על אזרחי ישראל באופן הזה. גם מנגנון האבטחה בו השתמשו באתר - זה של Captcha, שנועד לוודא כי הבקשות לא מגיעות מרובוט שנבנה לצורך שליפת פרטי המידע - היה כזה שניתן היה לעקוף. כעת, כל שנדרש הוא לכתוב סקריפט קצר שיריץ מספרי דו"חות אפשריים מול המערכת לצורך קבלת המידע.
"כיום החולשה לא ניתנת לניצול לאחר התיקון", סיפר עידו נאור, מנכ"ל חברת אבטחת המידע Security Joes. "אנחנו עובדים באופן יום-יומי מול מערך הסייבר הלאומי, העברנו להם דיווח בשבוע שעבר - כולל סרטון הדגמה ודו"ח מלא עם המלצות לתיקונים. המענה היה מיידי והחולשה נסגרה בתוך כמה שעות. חולשה כזו החשופה ברשת, היא בעלת ערך רב עבור האקרים - הצלבה בין מספר רכב לדו"ח תנועה יכולה להביא לתקיפות פישינג רבות עבור אזרחים. המידע שם מדויק, סכומים ופרטים כאלו הם משהו שישכנע אזרח לשלם את הדו"ח לחשבון התוקף במקום לרשות האכיפה ללא ידיעתו. בנוסף, מסדי נתונים בגודל כזה שווים ברשת האפלה עשרות אלפי דולרים".
