1. Брутфорс аккаунта - прямой (безлимит) - горизонтальный - cred stuffing 2. Брут пинкодов - брут в “лоб” - брут с ротацией IP - запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код 3. восстановление акков - подмена хоста на восстановлении - смена пароля или емейла без CSRF - раскрытие токена при восстановлении акка 4. oauth - привязка без CSRF (state) 5. мобилки - одинаковая схема 6. session confusion 7. cache deception 8. логические баги (слушайте эфир) 9. доп скопы в oauth 10. юз одного токена к чужому акку