Eingestuft als unkritisch
Ein potenziell kompromittierter Nutzer einer geschlossen Organisation, kann über Development-Tools des Browsers den Client Key und die Device ID abrufen. Darüber könnte arglistig die jeweilige URL mit geänderten Parametern abgerufen werden und damit eine Listung der Nutzer der eignen verbundenen Organisation aufgerufen werden.
Dieses Vorgehen beurteilt der Hersteller tendenziell als unkritisch, da die Informationsausgabe eingeschränkt ist und für die übermittelten Daten der API eine Notwendigkeit besteht. Bei dem Datenumfang der API handelt es sich um den zwingend notwendigen Informationsgehalt welcher behalten werden muss, damit die Clients funktionsfähig bleiben. Die API gibt ausschließlich die Informationen aus, die ein Nutzer aufgrund seiner jeweiligen zugeteilten Rolle und dazugehörigen Rechten innerhalb seiner eigenen Organisation(en) erhalten darf. Darüber hinaus werden keine Daten ausgegeben.