есть похожий пример мизерного уровня безопасности в тиньков банке...
раньше там была авторизация по паролю...
теперь они ее фактически убрали.

предположим, что у вас украли телефон с кошельком (в нем разумеется есть карта). или вы их забыли.
это не важно.

а теперь повторяйте действия.

предположим, что человек который нашел телефон - вытащил симку и поставил в свой новый телефон.
ну или ваш телефон был без блокировки экрана.

подготовка - делаем исходящий звонок с "найденного" телефона на "свой" номер.
=> мы узнали номер "найденного" телефона
далее:
1) заходим https://www.tbank.ru/auth/login/
2) выбираем указываем номер "найденного" телефона
3) вам приходит код. приходит он в шторку. и вам даже не нужно будет разблокировать приложение
4) скорее всего вы уже вошли в банк...
но если это не так и от вас просят пароль - выберите что вы не помните пароль
далее вводите номер карты (она есть в найденном кошельке)
все. далее вы устанавливает пароль. и входите.

максимально детская защита.
раньше авторизация была через логин и пароль (у меня он был действительно сложный). но теперь они фактически не дают пользователю без альтернативно авторизовываться сложными паролями (не дают оставить возможность входа только по логину и паролю)