מחדל אבטחה באתר משרד ההכנסה של פלורידה גרם לדלף מידע של מאות מספרי תעודת זהות ומספרי חשבון בנק של משלמי מסים במדינה. חוקר אבטחת מידע בשם קמרן מוחסין טוען כי מחדל האבטחה שכעת תוקן – אפשר לו, או לכל אדם אחר שהיה מחובר לאתר רישום מס עסקים של המדינה, לגשת, לשנות ולמחוק את הנתונים האישיים של בעלי עסקים שפרטיהם רשומים ברשות המסים במדינה וזאת, על ידי שינוי החלק בכתובת האינטרנט המכיל את מספר הבקשה של משלמי המסים. מוחסין הוסיף שמספרי הבקשה הם עוקבים ומאפשרים לכל אחד למנות את פרטי משלמי המסים על ידי העלאת מספר הבקשה בספרה אחת. מוחסין סיפק לאתר TechCrunch צילומי מסך של הפגם באתר, שכללו דוגמאות של שמות, כתובות מגורים וכתובות עסקים, מספרי חשבון בנק, מספרי ביטוח לאומי ומזהי מס ייחודיים אחרים המשמשים להגשת ניירת רשמית לממשלת פלורידה ולממשל הפדרלי.
מחדל האבטחה ידוע כהפניית אובייקט ישירה לא מאובטחת, או IDOR – סוג של פגיעות החושפת קבצים או נתונים המאוחסנים בשרת בגלל בקרות אבטחה חלשות או ללא בקרות אבטחה כלל. הדבר דומה למפתח לפתיחת תיבת דואר אישית, כאשר המפתח הזה יכול גם לפתוח כל תיבת דואר אחרת בכל השכונה. ל- IDOR יש יתרון על פני באגים אחרים בכך שלעתים קרובות ניתן לתקן אותם במהירות ברמת השרת.
מזהי מס, כמו מספרי ביטוח לאומי, ממוקדים לעתים קרובות על ידי האקרים ופושעי רשת לשם הונאות הגשת החזרי מס שמטרתם לגנוב החזרי מס, שעלותם מיליארדי דולרים מדי שנה למשלמי המסים.
מוחסין יצר קשר עם משרד ההכנסות של פלורידה ב- 27 באוקטובר וקיבל כתובת דוא"ל לדיווח על מחדל אבטחת המידע. הוא עשה זאת והליקוי תוקן זמן קצר לאחר מכן, אולם לטענתו לא שמע מהמשרד מאז. כשהתבקשו להגיב, טענו במשרד ההכנסה של פלורידה ל- TechCrunch כי הפגם תוקן תוך ארבעה ימים מדיווחו של מוחסין וששתי חברות אבטחה טוענות כי האתר מאובטח כעת: "הפגיעות אפשרה לגורם חיצוני לראות את נתוני הרישום שנשלחו על ידי משלמי המסים, כולל 417 רישומים שהכילו מידע סודי", הגיבה בדוא"ל דוברת משרד ההכנסה של פלורידה בת'אני וסטר והוסיפה: "בתוך פרק זמן של יומיים, ניסתה המחלקה ליצור קשר טלפוני עם כל עסק שנפגע ויצרה קשר עם כל משלמי המסים המושפעים בטלפון או בכתב תוך ארבעה ימים. המחלקה גם הציעה שנה אחת של ניטור אשראי חינם לכל משלם מסים שהושפע ממחדל האבטחה." משרד ההכנסה של פלורידה טוען כי לא זוהו סימנים לניצול פרצת האבטחה וכי בידיו אמצעים טכניים כגון יומנים המסוגלים לקבוע אם קיימות ראיות לניצול פרצת האבטחה או לגניבה ממשית של מידע.
