уязвимости у тебя я писал в теме постами выше,
но так как XSS у тебя не активная я просто скрыв ссылку под видом своего сайта сунул его себе в профиль, ты по ссылке прошёл, мне пришли твой куки, так и произошёл весь взлом, кстати в куках был зашифрованный пароль твой и логин, так что авторизоваться было не сложно.