Сбербанк хранит код CVC2/CVV2, а не его хэш?⁠⁠

В таком случае сбер его хранит в открытом виде если не дает его перебирать!!! А значит его можно получить если найти брешь.

Номер карты есть в приложении.

Знал бы как, на пикабу бы не писал ))) Но главное что есть функционал API банка, при том "публичный" позволяющий это все получить.

Тебе со всеми исходниками, или в общих словах? Объясняю на пальцах. У банка есть API позволяющий тебе подключенному через всемирную сеть интернет передать тебе номер карта, дату действия, код CVC. ПРи чем если первое в принципе можно светить где угодно и даже если последний брутфорсить, то примерно на 10 смс из банка до тебя дойдет что что-то не ладное с картой, то функционал приложения подразумевает что код либо хранится всегда у банка где-то и в случае если база попадет не в очень хорошие руки, то ни чего хорошего не жди, либо есть функционал позволяющий этот самый код брутфорсить без блокировок.

Так а тут да! В едином месте возможность узнать номер карты, дату, фамилию и все остальное и в довесок пусть и не хранят сам код, но дают возможность неограниченно перебирать хэш до повторения.

Физическую карту, карл! Я за нее. Плюсом карту выпустили, сведения передали и забыли. Тут же сам факт что сведения либо хранятся, либо есть способ их перебирать без блокировки карты!!!

Оке. Но в едином виде они ни где не офишируют?

Первый раз такое слышу. Можно официальную инфу о том что cvc могут в sms прислать?

С чего он скрывается? Там же на этой странице я могу посмотреть всю информацию о карте!!!

В конкретном случае вопрос не в этом. Грубо говоря чисто теоретически из хэша получить пароль не возможно, ибо функция односторонняя. Т.е. нет алгоритма позволяющего взять хэш и получить пароль. Можно зная алгоритм перебирать по очереди пароли чтобы получить такой же кэш. и как бы обычно разработчики не афишируют этими алгоритмами. В данном случае есть 3 варианта:
1. Либо алгоритм вот он открыт в самом приложении и просто происходит перебор в приложении и сервер отвечает что хэш совпал;
2. Перебор происходит на сервере и в приложение прилетает код (это очень не надежно);

3. Сбер хранит код в виде в котором он на карте...

В чем проблема? Вы не знаете что такое ХЭШ? Развивайтесь https://qastack.ru/programming/1240852/is-it-possible-to-dec...

Интернет банкинг отдает твоему приложению номер карты, дату получения, cvc код. Уже этого достаточно чтобы опустошить карту в 0. Осталось только перехватить эти данные, или как-то дернуть их.

Добавим сюда что в самом приложении есть все сведения о карте и сделаем вывод.