https://habr.com/ru/news/t/685716/
Не знаю как там всё сейчас устроено, но сервер аутентификации и
авторизации там делал в основном я.
Точно помню что пароли хранились в усиленном виде, то ли в PBKDF2, то ли
ещё в каком более сильном виде. ivi отвечает что одновременно email и
телефон (который я в БД обзывал MSISDN-ом) не указываются -- технически
ничто не мешает в БД их параллельно хранить, но логика frontend-а не
позволяла. Про ФИО не помню.
Говорят что авторизация только через ВКонтакте? Ну при мне были точно и
Facebook и Twitter, который вообще OAuth1, как минимум. Но они же сейчас
экстремистские.
А вот то, что до платёжных данных фиг доберёшься, даже будучи
разработчиком -- это да. Но возможно всё уже переделано стало.