Опасная уязвимость при онлайн оплате картой Альфа-банка

Доброго времени суток.

В последнее время активно пользуюсь продуктами Альфа-банка и всем, казалось бы, доволен - кэшбэк внушительный, бонусная политика очень интересная, приложение удобное и шустрое, ни разу не падало по моей памяти. Разве могут обнаружиться какие-то проблемы? К сожалению, могут...

Мне сложно оценить, насколько выявленная уязвимость может быть опасна, однако сам факт её наличия вызывает настороженность. Итак, о чём же всё-таки речь:

Некоторое время назад я, будучи студентом, как обычно зашёл на перерыве между парами покушать во "Вкусно и точка". Заказы я всегда делаю через мобильное приложение, поэтому и в этот раз я достал телефон, выбрал еду и нажал "Оформить". После этого началась знакомая процедура оплаты. Карта Альфа-банка, надо заметить, у меня к приложению была привязана.
А мы тем временем подходим к кульминации рассказа... В процессе оплаты заказа, даже если карта привязана к приложению, в целях безопасности всегда запрашивается индивидуальный CVC-код. Так вот, в этот раз, при вводе этого кода я допустил опечатку, которую сразу же заметил, однако кнопка "Оплатить" была уже нажата. Я подумал, что сейчас передо мной появится ошибка оплаты и будет предложено пройти процедуру заново, однако, к моему удивлению, оплата прошла успешно и заказ был подтверждён, а деньги с карты списались.
Пока я кушал тот самый заказ, в голове крутились разные мысли по поводу произошедшего. Первое, что приходило в голову - что опечатка мне лишь почудилась, и всё было введено верно. Вторая мысль была о том, что эксперимент надо повторить, а если уязвимость зафиксируется, проверить её наличие при оплате с картами других банков.
Сказано - сделано. При следующей покупке любимой картошки с наггетсами я уже намеренно ввёл неправильный CVC-код и снял процесс оплаты на захват экрана. К моему удивлению, никакой ошибки опять не возникло. Вот, собственно, то самое видео с оплатой и фото карты, которой производилась оплата:

К слову, при оплате картой другого банка, ввод неправильного CVC-кода приводил к ошибке и отмене заказа.

Итак, какой же я вывод сделал по результатам проделанного эксперимента? На лицо представляющая угрозу для пользователей уязвимость. Как ей может воспользоваться злоумышленник? Ну, самое простое, что приходит в голову - если ваш телефон попадёт в чужие руки, деньгами с вашей карты смогут воспользоваться, не вводя каких-либо паролей. А ведь у многих установлены не только приложения ресторанов быстрого питания, а ещё и, например, интернет-магазины.
В общем, многим проблема может показаться не стоящей внимания, но я считаю, что организация, обслуживающая денежные средства пользователей, в первую очередь должна обеспечивать сохранность этих денежных средств, а остальное - второстепенно.