Фейн, с телефона (и установленного мессенджера) трудно что-то делать. Когда была речь о подмене, подразумевалась работа с компьютера.
Каждая страница сервера, это просто интернет страница (с известным протоколом обмена), внутри которой обычный код и, в том числе, айди. Простое редактирование кода и подмена страницы говорит о том, что там даже защиты нет (от слова вообще). На любом уважающем себя сервере - подмена айди вызовет конфликт сессии. А тут просто заменили номер, обновили страницу и получили полный доступ., ведь через ID клиент сообщает серверу - кто он.
Значит, логически, можно последовательно перебирать идентификатор и, вполне возможно, нарваться на что-то интересное.
А ещё это значит, что спецслужбам (как и всем желающим) даже взлом не нужно делать... На колене написал программу, где есть поле ввода айди - вуаля, заходи в любой акк, как к себе домой
