So prüft es beispielsweise bei der Verbindung zum Server das Zertifikat nicht. Damit können Angreifer die übertragenen Daten mitlesen oder manipulieren.
Die Benutzer der App geben entweder manuell oder durch Scannen eines QR-Codes eine Kennung ein, dann wird eine Verbindung zum Telekom-Server aufgebaut.
Diese Verbindung erfolgt zwar über HTTPS, allerdings wird das Zertifikat dabei nicht geprüft. Laut der Computerzeitschrift c’t war auf dem Server ein schon mehrere Jahre abgelaufenes Zertifikat installiert.