כל קישור או קובץ שפתוח ללא סיסמא רק מחכה לזליגת נתונים. Security through obscurity זו לא הגנה. אם יש כשל הגדרות זמני (או קבוע) באתר של ריווחית שיאפשר indexing, או גישת API לא צפויה, פעם אחת שמנוע חיפוש יגיע לזה ולכל העולם יהיה חיבור בין שמות, כתובות, מספרי ת"ז, 4 ספרות של כרטיס אשראי...
וזו בעיה לא רק אצלם, אלא גם אצל Invoice One.
אגב, גם במשלוח PDF באימייל כדאי לדעתי להגן עם סיסמא בסיסית, אפילו 4 ספרות מת"ז, כדי להגן מאינדוסק לא צפוי.