Google Authenticator là một ứng dụng xác minh 2 bước trên điện thoại. Trong bản cập nhật mới nhất, Google đã cho phép nó có thể sao lưu và đồng bộ các mã xác minh thông qua tài khoản của Google, tuy nhiên lại không được mã hoá đầu cuối (End-to-End), khiến chúng có khả năng bị lộ trước những kẻ xấu.
Trước khi được tích hợp tài khoản Google, tất cả các mã trong ứng dụng Google Authenticator đều được lưu trữ trên thiết bị, điều đó có nghĩa là nếu thiết bị bị mất thì mật mã dùng một lần cũng sẽ mất và người dùng sẽ không thể truy cập được tài khoản. Nhưng khi cho phép đồng bộ với đám mây, Google đã mở ra cho người dùng một rủi ro bảo mật khác.
Các nhà nghiên cứu bảo mật từ Mysk cho biết, họ đã phân tích và chỉ ra rằng các dữ liệu lưu lượng mạng đã không được mã hoá đầu cuối. Điều này có nghĩa là Google có thể xem được các mã, các tài khoản ngay trên máy chủ của họ và không có tuỳ chọn nào để bảo vệ các mã trên để chỉ có người dùng sở hữu mới mở được.
Trong trường hợp máy chủ của Google bị xâm nhập bởi các Hacker, thì các dữ liệu không được mã hoá này sẽ bị rò rỉ, vì nó chứa đầy đủ các thông tin bao gồm cả QR, liên quan đến xác thực hai yếu tố chứa tên tài khoản hoặc dịch vụ. Nên kẻ tấn công có thể xác định tài khoản và lần mò thêm các dấu vết trên không gian mạng.
Mysk cũng đề nghị người dùng không nên bật tính năng đồng bộ giữa nhiều thiết bị cho đến khi Google cập nhật chúng trong các bản cập nhật sau này.