API pentest

[RichAard]

Читал статью о уязвимости в API на одной крупной платформе, где легким движением руки в пару строк можна было бы получить большую выгоду. Один лишь вопрос не дает мне уснуть, как без key и secret это могло бы осуществимо? Очевидно, что нужно было бы обмануть API, если это возможно или учетную запись чью-то (что нам в данной теме не интересно). Но я не находил примера на просторах интернета информации о такой реализации. Может кто-то видел что-то подобное?