Еще раз о новом мобильном приложении Пикабу и безопасности пользователей

В ответ на: Этот пост от @dinikin

Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей НЕ ТОЛЬКО на сайтах.

Прежде чем обвинять кого-то в массовом складировании логинов и паролей от аккаунтов, для начала стоит подучить матчасть.

Отсутствие API пикабу совершенно не означает, что всё взаимодействие мобильного приложения с сайтом завернуто на сторонний сервер. Единственный код, который взаимодействует НЕ с pikabu.ru - это код, который обращается к удаленному парсеру постов (ибо это весьма затратное дело для мобильного устройства).

Рассмотрим то, как это приложение авторизуется на Пикабу.
Вот код сего метода: Pastebin

Вкратце поясню происходящее:

1. Мобильное приложение получает специальный токен для защиты от межсайтовых запросов (CSRF) с pikabu.ru (не с чужого сервера, а именно с pikabu.ru!), без него сервер не примет ни один запрос.
2. Мобильное приложение делает запрос авторизации к pikabu.ru, максимально копируя запрос браузера (такой же вы можете увидеть в отладчике браузера при авторизации), заметьте, снова только pikabu.ru и никаких сторонних ресурсов!
3. Приложение сохраняет полученный идентификатор сессии и все дальнейшие запросы делает ИСКЛЮЧИТЕЛЬНО к pikabu.ru

Так вот, не подскажете-ли вы, уважаемый @dinikin, на каком из данных этапов приложение ворует логины и пароли и злостно передает их негодяям-разработчикам? Быть может вы воспользуетесь всем известным ПО (например, dex2jar+jad), получите код приложения и вернетесь с аргументами?

Возникает другой вопрос: быть может это не разработчики неквалифицированные, а @dinikin?