Заметил, кстати, как некоторые генераторы случайных чисел в банковском софте, если покопаться, начинают повторять одну и ту же последовательность? Мне кажется, там есть закономерность, которая может предсказать номера кредиток. Стоит поковыряться глубже?

Я вижу лазейки в истории операций, как эти токены сессии истекают с одинаковым интервалом. Если вытащим время сервера и небольшой фрагмент логов, сможем восстановить начальное значение генератора случайных чисел. Дальше – дело техники: подкинем это в фильтр перебора. Начнём с наименее защищённого узла. Заметил, что у эндпоинта, возвращающего хеш сессии, нет ограничения скорости. Значит, сможем скачивать логи пачками, не опасаясь блокировки. Оттуда и увидим закономерность. Готов приступать?