Beim Einlesen ins Forum bin ich in diesen Thread gestolpert und betreibe mal Leichenfledderei:
Erst dachte ich 'mit TOTP 2FA betrifft mich das nicht'.
Stimmt ja aber gar leider nicht: Wenn die Angreifer das PW und den TOTP Token innerhalb von 30 Sekunden automatisiert verwenden ist das Kind in den Brunnen gefallen. 
Daher vielen Dank für die damalige Meldung, dank derer ich noch rechtzeitig auf die zwingende Zertifikatsprüfung bei Verwendung von TOTP aufmerksam geworden bin.
Nachtrag: Gerade habe ich entdeckt dass Spin das letzte Woche hier schon beschrieben hat.
