Vom 18. Mai 2020
Eingestuft als unkritisch
Beschreibung der Entdeckung: Ein potenziell kompromittierter Nutzer einer geschlossen Organisation, kann über Development-Tools des Browsers den Client Key und die Device ID abrufen. Darüber könnte arglistig die jeweilige URL mit geänderten Parametern abgerufen werden und damit eine Listung der Nutzer der eigenen verbundenen Organisation aufgerufen werden.
Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller tendenziell als unkritisch, da die Informationsausgabe eingeschränkt ist und für die übermittelten Daten der API eine Notwendigkeit besteht. Bei dem Datenumfang der API handelt es sich um den zwingend notwendigen Informationsgehalt welcher behalten werden muss, damit die Clients funktionsfähig bleiben. Die API gibt ausschließlich die Informationen aus, die ein Nutzer aufgrund seiner jeweiligen zugeteilten Rolle und dazugehörigen Rechten innerhalb seiner eigenen Organisation(en) erhalten darf. Darüber hinaus werden keine Daten ausgegeben.