Dit incident rond de Proton Authenticator-app laat zien hoe zelfs goed aangeschreven beveiligingsgerichte bedrijven als Proton niet immuun zijn voor kwetsbaarheden, met name in de cruciale opstartfase van een nieuw product. Het loggen van TOTP-secrets in plaintext op iOS is technisch gezien een ernstig probleem, zeker gezien de gevoeligheid van deze gegevens binnen het 2FA-ecosysteem. Dat een dergelijke fout de release heeft gehaald, roept vragen op over de kwaliteit en reikwijdte van de pre-release audits, vooral in een context waarin gebruikers Proton juist vertrouwen vanwege hun focus op privacy en security-by-design. Tegelijk is het positief dat Proton snel en transparant heeft gereageerd, de fout publiekelijk heeft erkend, en de bug in versie 1.1.1 heeft verholpen. De nuance die het bedrijf aanbrengt – dat logs lokaal blijven, niet naar servers worden verstuurd, en dat TOTP-secrets sowieso exporteerbaar zijn – klopt technisch gezien, maar verandert niets aan het feit dat het loggen van secrets in ...