Mopla.solutions Webseiten Login über identitytoolkit.googleapis.com

Hallo zusammen,

ich habe mein Deutschlandticket bei mopla.solutions gekauft, da ich dort recht simpel das Ticket pausieren lassen kann.

Nun scheint mopla in der App auch die Möglichkeit zu bieten das Ticket in die Apple bzw. Google Wallet zu übernehmen. Beides möchte ich nicht. Ich habe eine eigene Wallet auf dem Android Telefon und würde gerne die pkpass Datei des Tickets dort importieren.

Dabei bin ich auf dieses Script gestoßen, welches in der Developerkonsole des Browsers ausgeführt werden soll und dann ein Download der Datei möglich sein soll: https://gist.github.com/rena2019/a2d32769a685ed26c3e3b3bbfe151859?permalink_comment_id=5060859#gistcomment-5060859

Leider funktioniert das bei mir im Firefox nicht. Mit Brave und Chromium scheint das Script aber zu funktionieren.

Wenn ich aber den Bearer Token aus dem Browser nehme, und dann ein GET mit z.B. dem Tool Postman auf https://backend.mopla.solutions/api/passengers/appleWalletPass?ticketId= mit der TicketID und dem Bearer Token mache, bekomme ich eine pkpass Datei als download, die ich auch in meine Wallet importieren kann.

Als nächstes wollte ich dann ein Python Script schreiben, welches mir den Bearer Token besorgt und per Request dann auch die pkpass Datei. Und dabei habe ich festgestellt, das mopla scheinbar identitytoolkit.googleapis.com für die Authetifizierung nutzt. Was mich da besonders stutzig macht: In dem zweiten POST an identitytoolkit.googleapis.com wird mein Login (Mailadresse) und das Passwort übertragen. Ist das wirklich so? Bekommt Google das Passwort? Ich bin da jetzt nicht so der Experte, aber das finde ich schon spooky.

Ihr könnt das mit beliebigen Zugangsdaten testen: https://app.mopla.solutions/welcome?login

Im zweiten POST steht das Passwort im Klartext:
grafik

Wie schätzt ihr das ein?