Система угона денег в таких системах при наличии агентского пароля до изумления проста.
1) Идём на сайт, в агентскую часть, вводим пароль;
2) Регистрируем новую точку, получаем пин/ключ и номер точки;
3) С помощью самописной программы по известному протоколу *одурью* кладём деньги на телефоны-вебмани, пока у агента не выйдет баланс и кредит.
Я наблюдал случай, когда одна из таких систем (названия приводить не буду) *легальному* пользователю с *его* логином-паролем открыла страницу доступа *другого легального пользователя*. С полными правами. Включая вывод информации о счёте, возможности создания новой точки и пр. При этом, подчёркиваю, никаких паролей-кук не воровалось, ничего не подменялось и не ломалось. Правда, воспроизвести не удалось.
В итоге, полагаю, что надёжность таких систем стремится к конкретной величине. Дело не первое и не последнее.