T'as pas idée du merdier non-maitrisé qu'il y a derrière un paquet de projets sur le web (y compris les projets pros) 
Donc, perso, ça ne m'étonne pas
Mais oui, l'attaque du "je teste password$! sur tous les comptes du jeu et j'en trouve qui matchent et je me les approprie", cela reste encore plus répandu que les SQLi (c'est le "credentials stuffing" qui fait des milliards de hits dans les stats d'Akamai apparemment)
Donc, perso, ça ne m'étonne pas
Mais oui, l'attaque du "je teste password$! sur tous les comptes du jeu et j'en trouve qui matchent et je me les approprie", cela reste encore plus répandu que les SQLi (c'est le "credentials stuffing" qui fait des milliards de hits dans les stats d'Akamai apparemment)