Начну не с инструкции, а с наблюдения. В веб-версии MAX вход устроен так, что одна длинная строка из хранилища браузера заменяет собой пароль, СМС и QR разом. Строка называется токен. Скопировал в другой браузер — и он войдёт. Без подтверждений. Я это проделывал руками, показываю по шагам.
Дальше любопытнее. Это не дыра, которую кто-то нашёл…