Кража баллов Перекресток. Но не всё так однозначно

Последнее время много сообщений о краже баллов. Вот и я в субботу проверил баланс, а там -13560 , причем в Липецке, что очень не близко от меня. Составили заявку #перекресток № 34230301, и стал я ждать. И хоть прошло с момента подачи заявки 48 часов, я все же решил написать здесь, потому что заметил интересную особенность.

Возьмем пример другой кражи,

Что мы видим там на скриншоте? - а то, что оплачено 2.20р и на эту сумму по Пакету начислены баллы 2 штуки. То есть это была именно обычная покупка. Вчера я провел еще эксперимент, и на оплату покупки со списанием баллов и мне начислились те самые 2 балла за доплату деньгами.

А вот при "краже" чек выглядит по-другому.

Во-первых, тут беда с математикой. Разница ровно 2 рубля, но доплата 2.89.

Во-вторых, а где мои 2 балла, положенные по Пакету ?

Более чем уверен, что поддержке на мои изыскания наплевать, поэтому решил поделиться. Вероятно существует несколько схем по уводу баллов и в моем случае это была не подделка штрихкода, то есть не обычная покупка, а что-то другое.

В качестве заключения у меня риторический вопрос, как же можно было так сделать списание баллов, чтобы процветал бизнес их воровства ?

Ведь давным давно известны одноразовые пароли, на основе псевдослучайных последовательностей

Что помешало к номеру карты прибавлять этот шестизначный код и генерировать штрихкод на основе пары номер карты+код? Начальное приближение было бы известно только приложению и серверу и устанавливалось бы по подтверждению СМС. И списание баллов бы стало надежным и безопасным. И это решение вот прямо на поверхности, наверняка есть и другие варианты. Но почему-то было сделано так как сделано...