-
I dati del vostro account 2FA, compresi i semi, erano in chiaro all’interno dei pacchetti di rete HTTPS. In altre parole, una volta che la crittografia a livello di trasporto viene rimossa dopo l’arrivo del caricamento, i vostri semi sono disponibili per Google e quindi, implicitamente, per chiunque abbia un mandato di perquisizione per i vostri dati.
-
Non esiste un’opzione di passphrase per crittografare il caricamento prima che lasci il dispositivo. Come fa notare il team di @mysc_co, questa funzione è disponibile quando si sincronizzano le informazioni da Google Chrome, quindi sembra strano che il processo di sincronizzazione 2FA non offra un’esperienza utente simile.
Your 2FA account details, including seeds, were unencrypted inside their HTTPS network packets.
🫣
Allucinante a dir poco…
Aggiornamento: la cifratura e2e potrebbe essere inserita in una versione futura di Google Authenticator.
Fra 50 anni? 😆