חולשת אבטחה שהתגלתה באתר ההתאחדות לכדורגל אפשרה לכל גולש לבצע שינוי בכתובת האתר (URL) ולצפות במידע אישי וצילומי תעודות זהות של שחקנים, שופטים ובעלי תפקידים בקבוצות ובמועדונים.
כך קובעת הרשות להגנת הפרטיות בדוח הקובע כי ההתאחדות לכדורגל הפרה את הוראות חוק הגנת הפרטיות.
מדובר בהליך פיקוח שנפתח ברשות, בעקבות מידע על פרצה וחולשות אבטחה באתר ההתאחדות, שהתגלו בחודש אפריל 2020. הרשות להגנת הפרטיות קובעת כי ההתאחדות לכדורגל לא עמדה בדרישות החוק, ואף בנהליה הפנימיים בתחום אבטחת מידע. ההתאחדות לא ביצעה סקר סיכוני אבטחת מידע, לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכותיו נעשית בידי בעל הרשאה, ולא יישמה מנגנון תיעוד אוטומטי המאפשר ביקורת על הגישה למערכות המאגר, כנדרש בתקנות הגנת הפרטיות.
כמו כן, הממצאים העלו כי ההתאחדות לכדורגל חיברה את אתרה לרשת האינטרנט בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או תוכנות המסוגלות לגרום נזק או שיבוש למחשב. בנוסף, ההתאחדות לא דיווחה לרשות על אירוע האבטחה.
בהתאם למצב החוקי הקיים, הרשות מוסרת הערות – אבל אין שום סנקציות כספיות בגין הפרת תקנות אבטחת מידע לפי חוק הגנת הפרטיות. מהרשות נמסר כי היא פועלת, בשיתוף מחלקת ייעוץ וחקיקה במשרד המשפטים, לקידום תיקוני חקיקה שיגבירו את יכולת ההרתעה של הרשות ויקנו לה סמכויות אכיפה לרבות הטלת עיצומים כספיים בגין אירועי אבטחת מידע.
בהתאחדות לכדורגל הפנו בתגובה לפיסקת הסיום בדוח, בה נמסר כי הרשות "מברכת על הפעולות בהן נקטה ההתאחדות מאז האירוע, לצורך אבטחת מידע ומניעת הישנות מקרים כאלה בעתיד".
