הרשות להגנת הפרטיות במשרד המשפטים הודיעה (יום ד', 18.7.18) לחברת איתוראן כי הפרה את חובותיה לאבטחת המידע האישי של מאות אלפי לקוחותיה, בעקבות מחדל אבטחה חמור אשר אפשר חדירה לא מורשית למערכות החברה, ולא דווח לרשות.
חולשות אבטחת המידע בחברה המנהלת מידע אישי של למעלה מ-100 אלף, איפשרו לגורם חיצוני גישה לדפי המשתמש הפרטיים של לקוחות החברה ולמידע אישי רב ורגיש. מידע זה כלל שם מלא, כתובת, מספר טלפון, מספר תעודת זהות, מספר לוחית זיהוי ברכב, מספר שלדת רכב, חשבוניות לקוח, מספר חשבון בנק, ספרות אחרונות של כרטיס האשראי, מידע על-אודות תנועת הרכב, היסטוריית מיקומים ונסיעות ואף "מיקום חי" בזמן אמת של הלקוח.
הרשות הדגישה כי התראה של "האקר לבן" על ליקויי אבטחת מידע במערכות המידע ואתר האינטרנט של הארגון, משמעותו חדירה ללא רשות למאגר הארגון ולכן מהווה אירוע אבטחה חמור כהגדרתו בתקנות, גם אם המטרה המוצהרת היא לאתר ולבחון ליקויים אלה.
כרשות ציינו כי איתוראן נדרשת לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת על-פי החוק, ולדווח לרשות להגנת הפרטיות על פעולותיה.