A1: Um ataque man-in-the-middle definitivamente seria uma boa maneira de obter essas informações (digamos, se alguém tivesse acesso a um roteador / switch na rede).
A2: Sim, muito mesmo. Eu seria executado em HTTPS o mais rápido possível.
Percebi que meu nome de usuário e senha são enviados em texto puro para o servidor remoto dentro da solicitação HTTP POST. Este é um sniffed embalado a partir do Wireshark
POST /***URL*** HTTP/1.1
Host: ***DNS NAME***
Content-Length: 463
site2pstoretoken=***TOKEN***&ssousername=***MY USER NAME***&password=***MY PASSWORD***
Este site não usa TSL e está exposto à rede externa da Internet.
Q1: É possível farejar o tráfego de entrada para esse servidor remoto (e obter todas as senhas)?
Q2: acho que é uma falha de segurança, estou errado?