Nagual
Да, именно так было, КМК, при ГГГ.
Чисто теоретически, фишеру нельзя узнать public pgp, только если не по фишскаму изначально его прописывать в настройки.
При логине впослелствии, максимум, он может перехватить шифровку для юзера (транслируя ее ему на подставном сайте) и ответ на неё. Однако, поскольку шифровка выдана на одну сессию, то юзеру выдают якобы ошибку 2фа и шифровку надо надо заново распознать. Тем временем, по первой шифровке фишер будет на акк. Это не даст ему возможности покупать и выводить (т.к нужна дешифровка пгп), однако я вижу этот вариант, и фишер может видеть адреса заказов.