ליאור פישרמן בסך הכל רצה שמישהו יסגור את מאגר המידע שחשף פרטים קריטיים של עשרות אלפי ישראלים; משום מה, כל הדרכים שהרשות עצמה הציעה באתר הובילו למבוי סתום
ליאור פישרמן, חוקר אבטחת מידע וסייבר, גילה דליפת מידע של עשרות אלפי אזרחים ופעל באחריות. הוא ניסה לדווח לרשות ההגנה על הפרטיות במשרד המשפטים, אבל איש לא טיפל בבעיה, ואיש לא חזר אליו. רק אחרי פניית "הארץ" למשרד ולחברה המנהלת את המאגר, הבעיה טופלה. בתגובה לשאלות על כך, במשרד המשפטים הסבירו שלא קיבלו שום פנייה, והמליצו לפנות אליה באותם אמצעים שלא עבדו ממילא.פישרמן גילה את הבעיה במערכת של דוקטורט. המערכת הזו היא מערכת ניהול שארבעים רשויות מקומיות ומרפאות שונות משתמשות בה כדי לנהל את מאגרי המידע שלהם. מטבע הדברים, מצטבר במערכת מידע רב - מצילומי תעודות זהות של אנשים שעושים פעולות שונות מול העיריות, שוברי תשלום, דיווחים שונים ואפילו צילומי מסך של תלונות של תושבים על כלבים משוטטים של שכניהם - תלונות שאמורות להיות חסויות. ים המידע הזה, הכולל עשרות אלפי מסמכים שונים, אוחסן במאגר קבצים (באקט) של אמזון והיה חשוף לכל אדם עם דפדפן.
כל הקבצים בעצם שהיו במערכת של דוקטורט אוחסנו בכתובת אחת - כלומר כתובתו של כל קובץ נראתה כך: http://X.s3.amazonaws.com/SOME-FILE.pdf - כל מה שהפורץ היה צריך לעשות זה למחוק את שם התמונה ולהכנס אל http://X.s3.amazonaws.com. שם חיכתה לו רשימה של 40,000 קבצים זמינים להורדה.
מתוך אמונה בכך שאיפה שיש גופה אחת יש עוד הרבה גופות - בדיקה קצרצרה הציפה לי חולשה נוספת שאיפשרה לי לבחון היטב לא פחות מ-120,000 רשיונות להחזקת כלב, עם הפרטים המלאים של הבעלים שלהם, כולל כתובת, טלפון וטלפון של בת הזוג. הפרצה במקרה הזה היתה כתובת שאיפשרה למקבל הרשיון להדפיס את הבקשה לתשלום. בכתובת היה מספר רץ.
למאמר המלא של רן בר-זיק, במקור: https://www.haaretz.co.il/captain/software/.premium-1.8891157